Waarom Microsoft Edge Secure Network minder veilig is dan je denkt

De discussie rond Microsoft Edge Secure Network laat zien dat het begrip ‘VPN’ verschillend wordt opgevat. Wie naar de techniek en de documentatie kijkt, ziet dat de kritiek vooral voortkomt uit uiteenlopende verwachtingen.

Momenteel gaat er een bericht rond: Microsoft Edge Secure Network is helemaal geen VPN. Het doet echter wel wat er was aangekondigd. Op dit moment stapelen de meldingen zich op dat de functie ‘Microsoft Edge Secure Network’ geen VPN zou zijn. Zij stelt de functionaliteit alleen voor de browser beschikbaar en niet voor het hele systeem. Bovendien wordt niet al het verkeer getunneld. Dat heeft Microsoft echter nooit beloofd.

De recente commotie vindt haar oorsprong in een bericht op X van IT-beveiligingsonderzoeker Sooraj Sathyanarayanan. Hij stelt daarin een “grondige veiligheidsanalyse” te hebben uitgevoerd van wat hij aanduidt als Microsoft Edges ‘Secure Network VPN’. Die benaming is op zichzelf al veelzeggend, want officieel spreekt Microsoft van ‘Microsoft Edge Secure Network’ – in het Nederlands wat krom vertaald als ‘Microsoft Edge Beveiligd Netwerk’.

In de browserinstellingen, onder Privacy, zoeken en services → Beveiliging → ‘Microsoft Edge Beveiligd Netwerk gebruiken’, presenteert Microsoft de functie als: “Ingebouwde VPN die beschermt tegen online trackers. U krijgt 5 GB gratis VPN per maand.” Wie op het vraagteken klikt, krijgt een uitgebreidere toelichting: ‘Secure Network is een ingebouwde VPN waarmee u uw netwerkverbinding kunt beveiligen tegen online hackers, zich kunt beschermen tegen online trackers en uw locatie privé kunt houden. U krijgt elke maand 5 GB gratis gegevens op een beveiligd netwerk wanneer u zich aanmeldt bij Edge met uw Microsoft-account.’

Volgens Sathyanarayanan voldoet Edge Secure Network technisch niet aan wat doorgaans onder een VPN wordt verstaan. Het mechanisme is gebaseerd op een HTTP CONNECT-proxy bovenop het privacyproxyplatform van Cloudflare. Alleen HTTP(S)-verkeer dat vanuit de Edge-browser zelf wordt gegenereerd, loopt door die tunnel. Systeemverkeer – DNS-resolutie, e-mailclients, achtergrondprocessen, OS-updates en overige applicaties – blijft buiten schot en dus rechtstreeks zichtbaar op netwerkniveau.

Daar komt bij dat de standaardoptie op ‘geoptimaliseerd’ staat. In die modus activeert Edge de tunnel uitsluitend op openbare wifi-netwerken of bij niet-versleutelde HTTP-verbindingen. In een doorsnee thuisnetwerk met overwegend HTTPS-verkeer gebeurt er feitelijk niets, tenzij de gebruiker expliciet overschakelt naar ‘Alle pagina’s’. Dat acht Sathyanarayanan weinig waarschijnlijk: wie de instelling niet aanpast, krijgt in de praktijk slechts sporadisch bescherming. Problematischer is volgens hem dat bij uitval van de verbinding met Cloudflare het verkeer zonder versleutelde omweg verdergaat, zonder expliciete melding aan de gebruiker.

Daarnaast is er sprake van een verplichte aanmelding met een Microsoft-account. Daarmee wordt het gebruik van Secure Network direct gekoppeld aan een identificeerbare gebruikerscontext. In een aangemelde sessie synchroniseert Edge standaard een breed spectrum aan gegevens – surfgeschiedenis, wachtwoorden, favorieten, formulierdata, extensies en geopende tabbladen – over alle installaties heen. Wie Secure Network activeert, doet dat dus niet anoniem, maar binnen een accountgebonden ecosysteem.

De feitelijke routering verloopt via Cloudflare. Volgens Microsoft krijgt Cloudflare geen inzage in de accountidentiteit; Cloudflare stelt op zijn beurt het verkeer niet inhoudelijk te inspecteren en diagnose- en supportgegevens na 25 uur te verwijderen. Die waarborgen zijn echter niet extern verifieerbaar. De implementatie is closed source en onafhankelijke audits op detailniveau ontbreken, zodat gebruikers zich uiteindelijk moeten verlaten op de verklaringen van beide partijen.

De technische observaties zijn in grote lijnen juist. Microsoft heeft Secure Network echter nergens gepositioneerd als een volwaardig, systeembreed VPN. Reeds bij de introductie in een previewversie van Edge in april 2022 werd de reikwijdte expliciet afgebakend: het ging om een browsergebonden tunnel die met name onbeveiligde verbindingen moest afschermen en het zichtbare IP-adres maskeren.

Microsoft formuleerde het destijds als volgt: dataverkeer zou ook bij niet met SSL beveiligde verbindingen niet langer afluisterbaar zijn, terwijl de tunnel het eigen IP-adres verbergt en tracking bemoeilijkt. De infrastructuur daarvoor wordt geleverd door CDN- en securityprovider Cloudflare. Die positionering past bij een beperkte privacyfunctie in de browser, niet bij een klassiek VPN dat al het uitgaande verkeer van een systeem omvat.

Op de bijbehorende productpagina licht Microsoft ook de standaardconfiguratie toe. Om de maandelijkse datalimiet van 5 GB niet voortijdig uit te putten, wordt in de standaardmodus alleen verkeer over niet-versleutelde verbindingen via de tunnel geleid. De keuze voor deze beperking is dus primair pragmatisch gemotiveerd.

Microsoft formuleert het expliciet: om de toegewezen VPN-databundel te sparen, worden streamingdiensten zoals Netflix, Hulu en HBO niet via Secure Network gerouteerd, tenzij de gebruiker ervoor kiest het VPN voor alle sites te activeren. Daarmee is de functionele begrenzing geen verborgen eigenschap, maar onderdeel van het ontwerp.

De ontstane ophef oogt daarmee buiten proportie. Secure Network is geen standaard geactiveerde systeemvoorziening, maar een optionele browserfunctie die gebruikers bewust moeten inschakelen. Dat daaruit impliciet de verwachting zou volgen dat al het apparaatverkeer via een volledige VPN-tunnel loopt, is moeilijk vol te houden.

Ook bij andere browsers met ingebouwde ‘VPN’-functionaliteit gaat het doorgaans om een applicatiegebonden proxyconstructie, niet om een systeembrede netwerkstack. Microsoft vermeldt bovendien expliciet dat een aanmelding vereist is en dat Cloudflare de onderliggende infrastructuur verzorgt. De randvoorwaarden zijn dus geen verborgen voetnoten, maar onderdeel van de publiek beschikbare documentatie.

Wie een klassiek, systeembreed VPN verwacht dat al het uitgaande verkeer via één versleutelde tunnel leidt, vindt bij Edge Secure Network niet wat hij zoekt. Wie de functie daarentegen ziet als een ingebouwde, browsergebonden privacymaatregel met een beperkte reikwijdte, krijgt in essentie wat Microsoft beschrijft.

De kern van de discussie ligt daarmee minder bij de techniek dan bij de verwachtingen die het label ‘VPN’ oproept. Niet verborgen functionaliteit, maar interpretatie en positionering voeden de controverse.