AdGuard Home tegen malware zelf installeren

Illustratie Rudolf A. Blaha

De populaire Pi-hole krijgt sterke concurrentie van AdGuard Home dat goed werkt tegen malware. Adblockers zijn populair omdat ze niet alleen advertenties kunnen blokkeren, en malware buiten de deur houdt, het voorkomt ook dat je nietsvermoedend op besmette websites terechtkomt. 

Pi-hole is al langer een van de meest populaire adblockers en Raspberry Pi projects. De Pi-hole-ontwikkelaars hebben echter nog geen rekening gehouden met een belangrijke ontwikkeling: de DNS-dienst pihole-FTL respectievelijk de onderliggende server Dnsmasq communiceert namelijk alleen onversleuteld met de buitenwereld – om precies te zijn: met DNS-resolvers die aangevraagde domeinnamen omzetten in ip-adressen en je daarmee de weg wijzen naar de gezochte bestemmingen op internet. Dat betekent dat derden Pi-hole-verzoeken kunnen manipuleren en afluisteren, bijvoorbeeld op het grote internetknooppunt AMS-IX in Amsterdam.

Ontvang gratis info en tips over AdGuard, Pi-hole en andere projecten, schrijf je in voor de nieuwsbrief:

Protocollen voor versleutelde communicatie

Protocollen voor versleutelde communicatie met het Domain Name System (DNS) helpen daartegen. Tot nu toe waren DNS-over-TLS (DoT), DNS-over-HTTPS (DoH) en DNSCrypt gebruikelijk. DNS-over-QUIC (DoQ) wint langzaam aan terrein en verschillende groepen over de hele wereld ontwikkelen andere protocollen. Pi-hole-gebruikers kunnen zichzelf helpen door er versleutelde proxy’s zoals Stubby of DNSCrypt-proxy voor te gebruiken.

De AdGuard Home-adblocker bevat reeds DoT, DoH, DNSCrypt en DoQ (je vindt de broncode van AdGuard op GitHub).

Het bedrijf AdGuard werd in 2009 in Moskou opgericht en verhuisde zijn hoofdkantoor in 2018 naar Cyprus en daarmee naar de EU. Het verdient zijn geld met commerciële DNS-filters en adblockers.

AdGuard Home maakt overzichtelijke indruk

AdGuard Home maakt een zeer overzichtelijke indruk. In tegenstelling tot Pi-hole, dat uit verschillende programma’s bestaat, bevat AdGuard Home alle functies in een enkele binary van slechts ongeveer 20 MB groot: een lokale DNS-server (stub-resolver) voor het communiceren met externe DNS-servers (recursive-resolver), een adblocker en een server voor het configureren via de webinterface. De volledige configuratie staat in één bestand. Het programma kan in een mum van tijd worden geïnstalleerd en ook weer verwijderd.

AdGuard Home houdt ook de responssnelheid bij van de resolvers, zodat je snel kunt zien of de keuze van de resolver goed of minder goed was. AdGuard Home heeft standaard een eigen op DNS gebaseerde filterlijst voor het blokkeren van malware en advertenties, en andere kunnen worden gedefinieerd via de eenvoudige gebruikersinterface – net als bij Pi-hole. Afzonderlijke black- en whitelists kunnen ook in AdGuard Home worden aangemaakt, maar niet zo handig als bij Pi-hole. Als er iets misgaat, kan de adblocker-functie met een muisklik worden uitgeschakeld. Sommige functies van AdGuard Home zijn ook interessant voor omgevingen met hoge beveiligingseisen: de dienst kan versleuteld met clients communiceren en zijn webinterface via HTTPS aanbieden. Dat alles maakt het aanlokkelijk om AdGuard Home eens te proberen.

Eén resolver tegelijk

Omdat DNS-servers poort 53 exclusief bezetten, kan er slechts één resolver tegelijk op een systeem draaien. Om AdGuard Home te proberen op een Rasperry Pi waar Pi-hole reeds op draait, moet je Pi-hole dan ook eerst uitschakelen – bijvoorbeeld met het commando sudo systemctl stop pihole-FTL. Je kunt je het leven echter makkelijker maken door AdGuard Home op een eigen sd-kaart te zetten en Raspberry Pi OS daarop vanaf nul te installeren.

AdGuard Home installatie

AdGuard Home draait ook op verschillende andere Linux-distributies en op macOS (zelfs op een Mac met de M1-cpu als x86-code in Rosetta-emulatie). De ontwikkelaars hebben een compleet overzicht van de ondersteunde cpu-platforms gepubliceerd op GitHub. In dit artikel doorlopen we het installeren en configureren voor Raspberry Pi OS (Buster). Je hebt niet meer dan wat basiskennis nodig om dat te kunnen volgen. Goed nieuws voor iedereen met een commando-allergie: de commandline wordt slechts sporadisch gebruikt.

Om AdGuard Home te installeren, gaan we ervan uit dat je al een Raspberry Pi geïnstalleerd hebt. Het maakt niet uit of die een desktopomgeving heeft of niet. We hebben dit uitgeprobeerd met een Raspberry Pi 3B+ en een Raspberry Pi 4.
Omdat je het ip-adres van je Raspberry Pi later nodig hebt om bij bijvoorbeeld je router aan te geven welke DNS-server er gebruikt moet worden, is het handig om ervoor te zorgen dat de Raspberry Pi een statisch ip-adres heeft en dus altijd via hetzelfde adres te bereiken is.

Je moet helaas toch beginnen met het openen van een terminal en het installatiescript voor AdGuard Home downloaden met het commando curl. Dat zal automatisch aan de shell worden doorgegeven om het uit te voeren:

sudo curl -sSL https://raw.githubusercontent.
com/AdguardTeam/AdGuardHome/master/scripts/
install.sh | sh

Het installatieproces is vervolgens in een mum van tijd klaar en dan is AdGuard Home al up-and-running.

Het script vermeldt onder andere in welke directory AdGuard Home zich bevindt – in dit geval in /opt/ AdGuardHome. Noteer die directory zodat je AdGuard Home indien nodig kunt verwijderen. Naast het installeren van het programma worden scripts ingesteld om automatisch te starten na het opstarten.

Op een Raspberry Pi kun je als volgt controleren of de service draait:

systemctl status AdGuardHome

De dienst kan makkelijk via de commandline worden beheerd. Met install en uninstall bedoelen de ontwikkelaars echter alleen het activeren en deactiveren van de dienst. Om het programma volledig te verwijderen, verwijder je gewoon de directory – met bijvoorbeeld rm -rf /opt/AdGuardHome.

AdGuard Home biedt als adblocker en malwarefilter net zulke duidelijke statistieken als Pi-hole. Bovendien wordt ook de procestijd vermeld, die kan worden gebruikt om de configuratie te optimaliseren.

Als je een desktopsysteem op de Raspberry Pi hebt geïnstalleerd, open dan de url http://127.0.0.1:3000 met de browser van Raspberry Pi OS. Zo niet, gebruik dan het commando ip a om het LAN -ip-adres van de Raspberry Pi te achterhalen en typ dat in de browser van een willekeurige computer op het lokale netwerk (bijvoorbeeld http://192.168.0.73:3000).

Eerste deel van de configuratie

De webinterface leidt je in vijf eenvoudige stappen door het eerste deel van de configuratie.

Stap 1

• Afhankelijk van de taalinstelling van je Raspberry Pi wordt automatisch de taal bepaald. Dat kun je aanpassen door rechtsonder op de op dit moment gebruikte taal te klikken. We gaan hier verder uit van Dutch als ingestelde taal. Klik dan op Beginnen.

Stap 2

• Stel op de tweede pagina de interfaces en de poort in waarmee de webserver en de DNS-server benaderd kunnen worden. Nadat de configuratie is voltooid, is de webserver niet langer toegankelijk via poort 3000, maar via de poort die je hebt ingesteld.

Normaal gesproken kun je de standaardinstelling voor beide servers gebruiken. Als een andere webserver op hetzelfde apparaat echter al poort 80 gebruikt, zal de wizard dat melden. In dat geval kun je het makkelijkst een andere poort aan de AdGuard Home-webserver toewijzen, bijvoorbeeld 8080 of 10080. De volgende pagina van de installatiewizard kan in elk geval alleen geopend worden via het poortnummer dat hier opgegeven wordt.

Stap 3

• Bij de interface- en poortinstellingen zie je alle lokale adressen waarop de webserver kan worden bereikt. Als je toegang wilt tot de webinterface vanuit het thuisnetwerk, kun je dat het beste doen met het LAN ip-adres, in dit geval 192.168.0.73. Als je de webserver van AdGuard Home op een andere poort dan de standaardpoort 80 instelt, zoals 8080, gebruik dan de url http://192.168.0.73:8080.

De standaardinstellingen voor de DNS-server kunnen meestal ook gewoon geaccepteerd worden. In het geval dat de standaardpoort 53 bezet is door een andere DNS-server, meldt AdGuard Home een adres-collision. In principe kan de DNS-dienst op een andere poort worden ingesteld, net als de webserver, maar veel DNS-clients zijn alleen ontworpen voor de standaardpoort.

Daarom wordt aanbevolen die andere DNS-server in ieder geval voor de duur van de test uit te schakelen. Bij Linux kan poort 53 bezet zijn door een dienst zoals systemd-resolved. Om die op een Linux-systeem te stoppen, klik je op de knop die AdGuard Home naast de foutmelding weergeeft.

Het instellen van AdGuard Home is erg eenvoudig. De software wijst zelf op eventuele adresconflicten, die kun je dan meteen elimineren.

De webinterface toont een aantal ip-adressen die je kunt gebruiken om al je apparaten en je router te configureren om de DNS-server te gebruiken, maar doe dat nu nog even niet, dat komt later nog.

Onderaan de tweede configuratiepagina raden de ontwikkelaars van AdGuard Home aan om de server een statisch ip-adres te geven. Als je ons eerdere advies om dat te doen al opgevolgd hebt, kun je dat hier simpelweg als een reminder beschouwen. Je kunt het ip-adres dat je Raspberry Pi nu heeft ook in de router laten reserveren. Om dat bij bijvoorbeeld een Fritzbox te doen, open je het menu ‘Thuisnetwerk / Netwerk’, klik je op het edit-pictogram van het betreffende apparaat en activeer je de functie ‘Aan dit netwerkapparaat altijd hetzelfde IPv4-adres toewijzen.’ Bij andere routers werkt dat op een vergelijkbare manier.

Stap 4

• Klik vervolgens op Volgende, geef een gebruikersnaam en een wachtwoord op, en open de vierde configuratiepagina. AdGuard Home geeft je dan instructies voor het instellen van de service op verschillende apparaten. Laat die pagina openstaan en ga terug naar de terminal om de service eerst te testen met het dig-commando. Dat moet je op de Raspberry Pi eerst nog wel even installeren. Het zit in het dnsutils-pakket, dus je kunt het met de volgende commando’s installeren:

sudo apt update
sudo apt install dnsutils

Controleer of de nieuw geïnstalleerde server DNS-query’s omzet:

dig @localhost ct.nl

Stap 5

• Dan moet dig het ip-adres 185.173.21.78 terug leveren. Als dat het geval is, configureer AdGuard Home dan in eerste instantie voor slechts één apparaat, bijvoorbeeld een Windows-pc of Mac. Door te klikken op een van de pictogrammen in de webinterface van AdGuard die nog open staat krijg je korte instructies over hoe je dat moet doen – maar laat de informatie die staat bij DNS Privacy voor wat het is want als je daarop klikt is er geen weg meer terug naar de wizard. In plaats daarvan is het raadzaam op een van de andere pictogrammen te klikken en de korte instructies die daar worden getoond naar een tekstbestand te kopiëren voor later gebruik.

Basisconfiguratie is voltooid

Zodra je een testcomputer geconfigureerd hebt om de AdGuard Home-service te gebruiken, is de basisconfiguratie voltooid. Klik op Volgende en dan op Open Dashboard. Na het intypen van de eerder opgegeven gebruikersnaam en wachtwoord kom je bij het dashboard van AdGuard Home.

In principe kun je AdGuard Home op die manier draaien en bijvoorbeeld testen op stabiliteit – de tool gebruikt de resolver dns10.quad9.net voor DNS-resolutie en filtert alle toegang op domeinnamen. Om de volle kracht van de tool te benutten, moet je de instellingsopties op zijn minst globaal even doornemen.

AdGuard Home instellingen – aan-/uitschakelen

Klik daarvoor op het menu ‘Instellingen / Generieke instellingen’. Met de optie ‘Blokkeerd domeinen dmv filters en host bestanden’ (nog niet alles is perfect vertaald) kun je de adblocker naar behoefte in- en uitschakelen. De webservices AdGuardBowsing Security, AdGuard Ouderlijk toezicht en Veilig Zoeken worden aanbevolen. Voor alle vier de opties geldt echter dat als internetprogramma’s met vertraging worden geopend of YouTube-streams en andere diensten op je testcomputer onvolledig worden geladen, het raadzaam is de filters bij wijze van test uit te schakelen. De logbestanden en statistieken zijn handig bij het oplossen van problemen, dus die moet je zeker aan laten staan.

DNS instellingen

Klik op ‘Instellingen / DNS Instellingen’. In het veld ‘Upstream DNS-servers’ staat slechts één adres om mee te beginnen. Het is echter nuttig om daar meerdere resolvers in te voeren, al is het maar om het risico op uitvallen van een ervan te verkleinen. AdGuard biedt een grote verzameling resolvers aan en het DNS Privacy Project is een goede bron voor DoH en DNSCrypt-resolvers. Om het adres van een DoH-server te achterhalen, klik je op een server in de Name-kolom aan de linkerkant en kopieer je het domeindeel van de Addresses-regel naar de AdGuard Home-webinterface. Als je bijvoorbeeld de DNS-resolver van Google met AdGuard Home wilt gebruiken, moet je als adressen dns.google en 8.8.8.8 toevoegen.

Meerdere resolvers selecteren

Voordat je een of meerdere resolvers selecteert, moet je specificeren welke functies je van een resolver verwacht, dat wil zeggen of hij werkt met of zonder een security-blocklist, DNSSEC of ECS (Extension Mechanisms for DNS Client-Subnet). Security-blocklists blokkeren de toegang tot websites met malware (wat aan te bevelen is). De beveiligingstechniek DNSSEC beschermt tegen manipulatie van DNS-informatie (ook aanbevolen).

ECS-functie

Met behulp van de ECS-functie informeert een resolver de exploitant van het doeldomein van welk subnet het DNS-verzoek afkomstig is. Als de exploitant van het aangevraagde domein, bijvoorbeeld Netflix of Amazon Prime, zijn diensten wereldwijd aanbiedt via verschillende datacentra (Content Delivery Network, CDN), kan hij de gebruiker doorverwijzen naar het dichtstbijzijnde datacentrum. Dat ontlast niet alleen het langeafstandsverkeer op internet, maar vermindert ook de kans op filevorming en verkort de doorlooptijd van het signaal, zodat dat in principe aan te bevelen is.

Omdat de resolvers vaak slechts kleine subnetgroottes noemen (bijvoorbeeld voor maximaal 256 gebruikers), kunnen afluisteraars na een tijdje verschillende gebruikersprofielen afleiden uit de DNS-requests. Afhankelijk van de provider kan de ECS- informatie ook andere privégegevens bevatten (zoals het volledige ip-adres), waarvan de gebruikers niet op de hoogte zijn.

De ontwikkelaars van AdGuard Home en DNSCrypt vermelden ECS-ondersteuning slechts sporadisch of helemaal niet op hun resolverlijsten. Bij Googles resolvers is ECS bijvoorbeeld ingeschakeld, maar op de AdGuard-lijst ontbreekt die vlag. Voor veel resolvers moet je daarom rechtstreeks bij de provider nagaan of hij de ECS-functie gebruikt.

AdGuard Home biedt drie methoden voor het bevragen van externe resolvers. Afhankelijk van je wensen, kun je voorrang geven aan snelheid of privacybescherming.

Met het voorafgaande https:// specificeer je dat AdGuard Home het DoH-encryptieprotocol gebruikt voor communicatie met de resolver. DoT, DNSCrypt en DoQ voeren in principe dezelfde handelingen uit en het is aan de exploitant welke van de methoden hij gebruikt en of zijn resolver überhaupt versleutelt.

Vooral grote resolver-exploitanten zoals Cloudflare bieden zowel niet-versleutelde als versleutelde DNS-communicatie aan. Om een resolver via DoT met AdGuard Home te benaderen, moet het domein voorafgegaan worden door tls://, bijvoorbeeld tls://dns3.digitalcourage. de. Bij sommige DoH-resolvers moet je het pad /dns-query toevoegen aan het domein, bijvoorbeeld https://dns.cloudflare.com/dns-query – dit vergt enig experimenteren.

Op de hoogte blijven van nieuws en updates? Schrijf je in voor de c’t-nieuwsbrief:

Resolvers ingevoerd

Als je je resolvers ingevoerd hebt, scrol je vervolgens een stukje naar beneden en klik je op ‘Test upstream’. AdGuard Home zal dan meteen melden of de communicatie werkte en het ook laten weten als het niet lukte om een resolver te bereiken. Controleer dan of de url correct is. Als dat zo is, dan is de onbereikbare server op dat moment waarschijnlijk buiten dienst. Zolang AdGuard Home ten minste één resolver kan bereiken, zal de dienst werken. Sommige speciale functies zijn echter alleen beschikbaar als je meerdere werkende resolvers hebt ingesteld.

DNS-queries verspreiden

AdGuard Home kan de DNS-queries dan verspreiden over meerdere resolvers (‘Volume balanceren’ oftewel load-balancing), alle resolvers tegelijk bevragen (‘Parallelle verzoeken’, die versnellen het laden van webpagina’s) of altijd alleen de snelste resolver bevragen (‘Snelste IP-adres’). Welke van de methoden je gebruikt, hangt af van de vraag of je meer waarde hecht aan snelheid of privacy. Wanneer je klaar bent met de resolver-instellingen, klik je op Toepassen.

AdGuard heeft adressen DNS-queries nodig

De adressen van de bootstrap-DNS-servers kun je het beste laten zoals je zijn, AdGuard Home heeft die nodig om de ip-adressen van de geregistreerde resolvers te vinden. Bij de sectie van de DNS-server configuratie wordt aanbevolen om de limietwaarde hoger in te stellen. De standaardinstelling is een maximum van 20 requests per client per seconde. Als je AdGuard-computer geen andere taken heeft, kun je daar 0 invoeren om willekeurig veel zoekopdrachten toe te staan en vertragingen daarmee tegen te gaan.

IPv6 of IPv4

Laat IPv6 aanstaan, dat is een best practice op netwerkgebied. Voor de inhoud van de DNS-communicatie maakt het echter niet uit of het verzoek via IPv4 of IPv6 is gedaan, het zal op dezelfde manier worden beantwoord als het ontvangen is.

In de sectie van de ‘DNS cache configuratie’ moet je de standaardinstellingen laten staan. Je kunt hoogstens de grootte van de cache vergroten zodat Ad- Guard Home meer DNS-vermeldingen kan onthouden. Apparaten met een kleine hoeveelheid werkgeheugen kunnen echter makkelijk overbelast raken, zodat je de cachegrootte slechts voorzichtig moet vergroten.

Andere instellingen met rust laten

Alle andere standaardinstellingen moet je voorlopig even laten voor wat ze zijn. Surf een tijdje zoals gewoonlijk op je testcomputer. Meestal komen er na een paar minuten honderden DNS-query’s. Klik vervolgens op Dashboard en controleer de gemiddelde procestijd. Als vuistregel geldt: hoe korter, des te beter. Bij onze test haalde AdGuard Home latenties van rond de 40 milliseconden met sommige resolvers in de parallelle modus. Met verafgelegen of zwaar belaste resolvers liep de latentie echter makkelijk op tot 160 milliseconden.

Als je op een website terechtkomt waarvan bekend is dat daar malware op staat, zal AdGuard de toegang daartoe blokkeren. Alleen als je zeker van je zaak bent kun je dat met de knop rechtsboven overrulen.

Je kunt AdGuard Home ook via de commandline beheren, om bijvoorbeeld de configuratie op fouten te controleren (AdGuardHome –check-config). Je kunt ook een nieuw ip-adres of poort aan de webserver toewijzen. Een overzicht van de opties wordt gegeven door dit commando:

AdGuardHome –help

Het configuratiebestand staat in de AdGuard Home rootddirectory in de subdirectory data. Het heet Ad- GuardHome.yaml. Je kunt het bewerken met een teksteditor, maar dan moet je de service handmatig stoppen en opnieuw starten om de wijzigingen toe te passen.

Statusberichten zouden door de software naar het bestand /var/log/AdGuardHome.out geschreven moeten worden. AdGuard Home heeft echter niets in dat bestand gezet, zelfs niet na een aantal weken continu gebruik.

/var/ log/AdGuardHome.err

We vonden echter nuttige berichten in /var/ log/AdGuardHome.err. Daar noteert AdGuard Home bijvoorbeeld wanneer het AdBlocking-filter bijgewerkt is (Filter 1 has been updated: 712673 bytes, 37064 rules). Soms verschijnen er foutmeldingen in het logbestand die je niet meteen kunt thuisbrengen, maar die hadden geen merkbaar effect op de werking.

AdGuard Home werkte bij ons in ieder geval al enkele weken probleemloos en liet op het gebied van installatie, beheer en werking een goede indruk achter in vergelijking met andere adblockers en malwarefilters.

Browseruitbreiding AdGuard

De browseruitbreiding AdGuard heeft dezelfde functionaliteit qua adblocking, maar doet dat alleen op browserniveau. Voor de netwerk-adblocker Pi-hole is er ook een add-on, maar die is alleen bedoeld om Pi-hole in zijn geheel even uit en weer aan te zetten.

Bedenk daarbij wel dat je dat dan niet alleen voor de betreffende browser doet, maar dat je meteen je hele netwerk openzet. Die functie heeft AdGuard Home ook, maar die zit als de knop ‘Schakel bescherming uit’ op het centrale Dashboard. Dat maakt je in elk geval meer bewust van het feit dat voor hele netwerk op dat moment de reclame en malware niet meer wordt gefilterd.

Naast de browseruitbreiding heeft AdGuard ook het programme AdGuard voor Windows, wat hetzelfde doet, maar dan op het niveau van je Windows-pc. De functionaliteiten zijn verder hetzelfde, alleen het niveau waarop ze ingrijpen is daarmee weer anders. Hetzelfde geldt voor de AdGuard-apps voor Android en iOS, waar dan wel een betaalmodel aan vasthangt.

Meer individuele controle

Wil je meer individuele controle over je apparaten of de gebruikers, dan zou je eens naar eBlocker kunnen kijken. Daar kun je gedetailleerd met verschillende profielen bepalen welke apparaten op welke manier gefilterd en geblokkeerd worden. Met de nieuwste versies van Pi-hole is dat ook mogelijk via de ‘Groups’. Maar wil je vooral snel en makkelijk zo veel mogelijk verschoond blijven van irritante reclame en kwaadwillende malware, dan is AdGuard Home een aanrader.

Deze website wordt geblokkeerd door het Ouderlijk toezicht. Die is alleen vrij te geven door hem te whitelisten via de webinterface.

Met de keuze van resolvers bepaal je de koers voor de veiligheid en privacy. Hou er in eerste instantie rekening mee dat elke resolver-operator de DNS-query’s en bronip- adressen kan loggen.

No-logs of te gelde maken

Sommige resolvers die aangeboden worden zijn specifiek op privacy gericht en verzekeren dat ze niet loggen (no-logs). Andere proberen hun diensten voornamelijk te gelde te maken en werken met adverteerders.

In principe zou je logging kunnen vermijden door een recursive resolver zoals de Quad9-service zelf te draaien. Om dat te doen, houd je de rootzone lokaal, bijvoorbeeld op een DNS-server zoals Unbound (Hyperlocal Root), zodat die rechtstreeks kan communiceren met DNS-rootservers en autoriserende servers. Maar tot nu toe is dat alleen onversleuteld mogelijk, zodat de privacy weg is.

Externe resolver beter

Daarom is een externe resolver die ook door veel andere gebruikers wordt benut beter, zodat de communicatie met de rootzone en de autoriserende servers niet kan worden toegewezen aan de ip-adressen van thuisrouters. Daarom zijn resolvers die providers standaard aan thuisrouters toewijzen geen slechte keuze. Tot dusver zijn er echter niet veel providers die versleutelde resolvers onderhouden. Freedom.net ondersteunt DoH-resolvers, maar KPN en Ziggo niet.

Als je je DNS-verkeer wilt versleutelen zit je in een lastig parket, omdat er wel aanbieders zijn die dat doen, maar die zul je moeten vertrouwen. Sommige resolver-operators garanderen in hun algemene voorwaarden wel dat zij de privacy beschermen.

Wees alert bij Amerikaanse bedrijven

Je moet voorzichtig zijn met Amerikaanse bedrijven, omdat zij op bevel van de overheid verplicht zijn de gegevens van hun gebruikers te overhandigen. Quad9 heeft zijn hoofdkantoor sinds half februari naar Zwitserland verplaatst, dat heeft beloofd geen gegevens op te eisen van Quad9-gebruikers.

Goede kandidaten zijn de servers van de Swiss Digital Society en het Bielefeldse instituut Digitalcourage. Die door donaties gefinancierde projecten zijn echter niet altijd opgewassen tegen de belasting van de DNS-requests. Daarom beantwoordt de resolver van Digitalcourage maximaal 20 DNS-query’s per bron-ip-adres per seconde. Om dergelijke bottlenecks te vermijden helpt het om meerdere resolvers te configureren.

(Deze informatie is afkomstig uit het artikel van Dušan Živadinović en Noud van Kruysbergen uit c’t magazine 6/2021, p. 134. Online bewerking door Daniel Dupré)