De belangrijkste resultaten van SIDN Labs in 2025

DNS-inzicht: signeren van .nl kan met 2 kwantumveilige algoritmes

Experts: Caspar, Elmer en Ralph

We lieten op basis van uitgebreide metingen zien dat de cryptografische algoritmes Falcon-512 en Mayo-2 geschikt zijn om .nl en andere DNS-zones met miljoenen domeinnamen te signeren met DNSSEC. Deze algoritmes zijn gebaseerd op zogenaamde ‘post-kwantumcryptografie’ (PQC), dat bestand is tegen de rekenkracht van toekomstige kwantumcomputers. PQC-algoritmen hebben fundamenteel andere eigenschappen dan de algoritmen die DNSSEC nu gebruikt zoals RSA of ECDSA. We willen daarbij begrijpen wat de operationele gevolgen zijn van de omschakeling naar PQC-algoritmes voor .nl en andere topleveldomeinen. We selecteerden Falcon omdat het een NIST-standaard wordt en MAYO omdat we dat als veelbelovend zien voor DNSSEC. Het werk is onderdeel van onze samenwerking met SURF en de Universiteit Twente op het gebied van PQC voor DNSSEC.

DNS-innovatie: aanbevelingssysteem voor DNS-anycastlocaties

Experts: Thijs en Thymen

Samen met ons DNS-team ontwikkelden we Autocast, een datagedreven methode die automatisch anycastlocaties aanbeveelt (bijvoorbeeld Amsterdam, New York of Frankfurt) van waaruit de reactietijd van .nl mondiaal zo laag mogelijk is. Ons DNS-team kiest deze locaties nu nog vooral handmatig, wat meerdere test- en verfijningsiteraties vereist. Met steeds meer mogelijke anycastlocaties wordt dit in toenemende mate een lastige taak, die kan leiden tot een suboptimale verdelingen van de .nl-nameservers over de wereld. Nieuw aan onze methode is dat we uitsluitend IP-unicastmeetresultaten gebruiken. Hiermee kunnen we de mediane responsetijd van resolvers voor een specifieke combinatie van anycastolocaties tot op de milliseconde nauwkeurig voorspellen, zonder dat we ze daadwerkelijk via BGP hoeven aan te kondigen. SIDN’s DNS-team gaat Autocast volgend jaar in productie gebruiken om de DNS-anycastlocaties voor .nl te optimaliseren.

DNS-inzicht: uitdagingen om het rootserversysteem (en andere DNS-infra) te monitoren

Experts: Moritz en Marco

We belichtten de uitdagingen voor operators en onderzoekers die van buitenaf willen monitoren in hoeverre de DNS-root, topleveldomeinen en andere sterk gedistribueerde DNS-infrastructuren naar verwachting presteren. Denk aan de selectie van ‘vantage points’ van waaraf te monitoren en een eenduidig definitie van te monitoren prestatie-indicatoren. Deze uitdagingen kwamen voort uit onze RSSAC047-studie voor Verisign en ISC, waarin we samen met de collega’s van NLnet Labs het monitoringsysteem van de DNS-root evalueerden. Een top-notchmonitoringsysteem is cruciaal voor de bereikbaarheid van kritische DNS-infrastructuur, omdat DNS-operators hun nameservers vaak repliceren en over de hele wereld distribueren. Voor .nl doen we dit bijvoorbeeld via een ‘geanycaste’ DNS-infrastructuur (volgend jaar in combinatie met Autocast).

DNS-inzicht: factoren die domeinnaamopzeggingen beïnvloeden

Experts: Thymen en Thijs

We ontwikkelden samen met SIDN’s datateam en 12 andere registry’s uit de CENTR-gemeenschap een tool die meer inzicht geeft in domeinnaamopzeggingen. We definieerden gezamenlijk 15 opzeggingsindicatoren en pasten dezelfde statistische algoritmes toe passen op een bredere combinatie van databronnen dan voorheen, zoals registratiedata, DNS-data, facturatiedata en type websitecontent. Hiermee konden we de opzeggingsindicatoren van 6 van de 12 ccTLD’s met elkaar vergelijken, die daarvoor alleen de tool op hun data hoefden toe te passen. De eerste resultaten bevestigen bijvoorbeeld onze intuïtie dat domeinnamen waarvoor we veel DNS-verkeer ontvangen een grotere kans hebben op verlenging: tot ongeveer 15% voor de meeste opgevraagde domeinnamen. SIDN en andere registry’s kunnen met deze inzichten hun inkomsten beter inschatten en de samenwerking met registrars verder verbeteren, zoals via co-funded .nl-campagnes. We publiceren begin 2026 een blogpost met meer details.

DNS-standaardisatie: eerste versie RESTful Provisioning Protocol

Experts: Maarten en Marco

In de IETF ontwikkelden we samen met DENIC (.de) en andere registry’s een eerste versie van de architectuur en requirements van het RESTful Provisioning Protocol (RPP). Dat is een standaard in ontwikkeling voor domeinnaamregistratie-API’s die beter geschikt zijn voor op cloudtechnologie gebaseerde systemen (on-premises, private of public cloud) dan het Extensible Provisioning Protocol (EPP). Hiervoor richtte de IETF eerder in 2025 een officiële IETF-werkgroep op, waarvoor we vanuit SIDN een belangrijke pleitbezorger waren. Collega Marco is covoorzitter van de werkgroep, terwijl Maarten een van de technische architecten is. De werkgroep boekt goede voortgang en ligt op schema.

DNS-standaardisatie: digitale verkoopborden in het DNS

Experts: Marco

In de IETF ontwikkelden we ook ‘ForSale’, een methode waarmee een domeinnaamhouder eenvoudig en laagdrempelig via het DNS bekend kan maken dat zijn .nl-domeinnaam (of een met een andere extensie) te koop is. We namen ForSale als pilot in gebruik voor .nl, waarbij registrars al ruim 250.000 .nl-domeinnamen voorzagen van een ForSale-label in het DNS. Met ForSale willen we bijdragen aan een transparantere en toegankelijkere domeinnaammarkt, waarin domeinnamen sneller en doeltreffender een nieuwe bestemming vinden. We verwachten de conceptstandaard begin 2026 af te ronden.

BGP-inzicht: volwassenheid van BGPsec-implementaties is laag

Experts: Lisa, Moritz en Ralph

We toonden aan dat er op dit moment geen softwarerouter bestaat die goede ondersteuning biedt voor BGPsec. Dit is een al in 2017 gestandaardiseerde BGP-uitbreiding die routers de mogelijkheid geeft om BGP-paden cryptografisch te ondertekenen en te valideren. BGPsec is daarmee nog onvoldoende volwassen voor productie, maar biedt wel een perspectief voor de toekomst om routingsecurity te versterken in combinatie met technieken zoals RPKI en ASPA. Voor ons onderzoek zetten we een kleinschalig testbed op, waarop we 5 BGPsec-implementaties (QuaggaSRx, ExaBGP-SRx, GoBGP-SRx, FRR en BIRD) testten. Deployment van BGPsec vereist dat ze sterk verbeteren, bijvoorbeeld voor de validatie van BGPsec-handtekeningen. Ook moeten openstaande zorgen bij operators rondom rekenkracht die BGPsec vereist worden weggenomen. De patches die we ontwikkelden voor onze evaluatie en de deploymentsoftware van ons testbed zijn beschikbaar via onze GitHub-repository.

BGP-innovatie: routingsecurity geautomatiseerd evalueren

Experts: Lisa en Moritz

We ontwikkelden en evalueerden een prototype van een meetsysteem dat vaststelt in hoeverre een netwerk op het internet ‘MANRS+’ implementeert. MANRS+ is een verzameling maatregelen die beschermen tegen routekapingen en andere veelvoorkomende routeringsbedreigingen. Voorbeelden van MANRS+-maatregelen zijn filtering van ongeldige routeringswijzigingen en bescherming van BGP-sessies. MANRS+ is een uitbreiding op MANRS, waar wereldwijd meer dan 1.200 netwerken aan deelnemen. Bij SIDN zijn we sinds 2018 aangesloten bij MANRS, omdat een veilig routeringssysteem essentieel is voor zowel het .nl-ecosysteem als het internet als geheel. Andere deelnemers in Nederland zijn KPN, VodafoneZiggo, TransIP, BIT en SURF. We voerden ons onderzoek uit met een testbed in ons labnetwerk en deden op basis van de resultaten aanbevelingen voor een toekomstige rol van een ‘MANRS+-auditor’ aan de organisatie achter MANRS+. Ons prototype is voor iedereen toegankelijk via onze GitHub.

NTP-inzicht: karakteristieken van ‘BigTime’ verschillen aanzienlijk

Experts: Giovane en Marco

We vergeleken de eigenschappen van Network Time Protocol (NTP)-services van 7 ‘BigTime’-providers, zoals Apple, Microsoft, Ubuntu en Google. In onze metingen vonden we aanzienlijke verschillen, bijvoorbeeld dat alleen Ubuntu en Cloudflare Network Time Security (NTS) ondersteunen. Ook ontdekten we dat Microsoft maar 1 tijdbron inzet voor 50% van de apparaten die hun service gebruiken en dat de tijdservices van Apple en Ubuntu geen RPKI ondersteunen. Dit soort inzichten vinden we belangrijk, omdat BigTime-services nauwelijks zijn onderzocht, maar wel miljarden apparaten wereldwijd bedienen. We toonden ook aan dat minstens 4 miljard apparaten met Apple en Windows als besturingssysteem afhankelijk zijn van verouderde, onveilige NTP-software. Daardoor kunnen aanvallers klokken jaren voor- of achteruitzetten, wat grote veiligheidsrisico’s oplevert. We voerden beide studies uit met studenten van de TU Delft en publiceerden een techreport over zowel de BigTime-providers als de NTP-software.

NTP-innovatie: uitbreiding van ons anycasttestbed voor de NTS-pool

Experts: Marco en Giovane

We breidden ons anycasttestbed uit om op basis daarvan een eerste versie op te zetten van de NTS-pool. Dat is een verzameling tijdservers van vrijwilligers die tijd aanbieden via Network Time Security (NTS). Het doel is apparaten en diensten in staat te stellen eenvoudig een NTS-server op te zoeken in de pool en te gebruiken. Een voorbeelduitbreiding is het toevoegen van Chrony als NTP-server met NTS-patches. Het concept van de NTS-pool is geïnspireerd op de NTP-pool, de grootste tijdservice op het internet die al decennialang tijdservices levert, maar via het onbeveiligde Network Time Protocol (NTP). We werken nauw samen met Trifecta Tech, die de ontwikkeling van de NTS-software in RUST voor hun rekening nemen en in de IETF aan een standaard werken. Het project wordt medegefinancierd vanuit het ICANN Grant Program.

Toolinginnovatie: onze onderzoeksinfrastructuur bij Nikhef

Experts: Ralph, Maarten, Thijs, Johan, Richard en Dennis

We herontwierpen onze onderzoeksinfrastructuur en bouwden het met nieuwe apparatuur op in het datacenter van Nikhef. Dit deden we omdat onze huidige infrastructuur verouderd is, zowel de hardware (servers uit 2017-2020) als de software (bijvoorbeeld Hadoop in plaats van moderne datatechnieken zoals Trino en S3). Ook wilden we het nog strakker scheiden van het SIDN-netwerk en voorzien van een eigen real-time stroom aan BGP-verkeer door direct te koppelen aan internationale internetknooppunten AMS-IX en NLix. De eisen voor onze onderzoekinfrastructuur verschillen van het registratiesysteem van .nl en andere productiesystemen, omdat de onderzoeksinfrastructuur onder andere geen hoge beschikbaarheid nodig heeft, maar wel veel meer data verwerkt.

Op de nieuwe apparatuur rolden we de basislaag van de infrastructuur uit, zoals een Kubernetes- en Proxmoxcluster, S3-complient storage, Apache Spark en Jupyter Notebooks. We werkten samen met SIDN’s securityteam om de infrastructuur op te nemen in de bedrijfsbrede securitymonitoring en maatregelen te treffen zodat we er volgens ISO27001 mee kunnen werken. Als sluitstuk van de hele operatie migreren we begin volgend jaar onze applicaties en data.

Workshop met de Nederlandse technische gemeenschap

Experts: Ralph, Lisa en Cristian

We organiseerden een workshop met 15 experts uit de Nederlandse internetgemeenschap om haar feedback te krijgen op de kwaliteit, relevantie en richting van het onderzoek van SIDN Labs en hoe we ons werk verder kunnen verbeteren. We vinden dit belangrijk, omdat SIDN als .nl-registry een publieke rol heeft. We valideerden ons werk vanouds vooral internationaal, bijvoorbeeld via wetenschappelijke papers en het aantal extern gefinancierde onderzoeksprojecten dat we uitvoeren.

De experts gaven ons werk overall een ruime 8. Sterktes die ze noemden waren bijvoorbeeld: uitstekende kwaliteit van onderzoek, frequente publicaties, logische onderzoeksthema’s (DNS, BGP, NTP) en dat onze testbedaanpak een voorbeeld is voor anderen. Suggesties voor verdere verbetering die we ontvingen waren om onze technische internetvisie verder uit te werken en specifieker te zijn over de doelgroepen die we willen bereiken (bijv. ook beleidsmakers en politici naast technici). Met deze feedback zijn we aan de slag gegaan en de resultaten rapporteren we op de workshop van 2026.

Nieuw internettalent

Experts: Elmer (afstudeer- en stagecoördinator)

Ook in 2025 hielpen we de volgende generatie van engineers en onderzoekers zich te ontwikkelen tot nieuw internettalent, bijvoorbeeld via stages. Dat doen we niet alleen voor .nl en SIDN, maar ook zodat Nederland koploper blijft in technische kennis over de werking, innovatie en standaardisatie van het internet. We werken hiervoor intensief samen met universiteiten, zoals Radboud Universiteit, Universiteit Twente en TU Delft.

Zo draaiden 3 masterstudenten mee in ons team. Zij onderzochten hoe resolvers zich gedragen als ze tijdelijk zowel met PQC-algoritmes als met klassieke algoritmes moeten werken, wat er nodig is om de RPKI kwantumveilig te maken (tweede plaats in de KHMW Responsible Internet Scriptieprijzen!) en hoe we bij SIDN malafide .nl-registraties kunnen detecteren met representation learning. We waren de opdrachtgever voor een groep van 5 bachelorstudenten van de TU Delft die voor ons NTPinfo ontwikkelden, een site waarmee gebruikers de eigenschappen van NTP-servers kunnen evalueren, zoals hun nauwkeurigheid, tijdsbron en geolocatie. Ook begeleiden we 4 Ph.D.-studenten, die wetenschappelijk publiceerden over bijvoorbeeld ‘ruis’ in BGP-data, de adoptie van DDoS-scrubbers op het internet en uitbreidingen van BGPsec.

Tot slot organiseerden we met Jong ECP, NL IGF, RIPE NCC en de Universiteit Twente de workshop “How the internet really works”. Daar sloegen 25 studenten en young professionals met policy- en technische achtergronden een brug tussen hun disciplines door in gesprek te gaan over onderwerpen als internetfragmentatie en -centralisatie. De technische studenten volgden het mastervak Advanced Networking, dat we dit jaar voor de achtste keer gaven met collega’s van de Universiteit Twente.

Wetenschappelijke publicaties

Experts: Giovane, Ralph, Moritz en Cristian

Samenwerking met de wetenschap vinden we belangrijk om samen (radicaal) nieuwe ideeën te ontwikkelen, onafhankelijke feedback te krijgen op ons werk en de wetenschappers te laten profiteren van onze data en problemen uit de praktijk.

We publiceerden dit jaar 8 wetenschappelijke papers, vaak samen met collega’s van universiteiten. Daarnaast publiceerden we een artikel en een blogpost over de 5 modellen die we bij SIDN Labs hanteren om met universiteiten samen te werken: afstudeerders, datadelen, informele samenwerkingen, detacheringen en extern betaalde onderzoeksprojecten. We bespraken de voor- en nadelen en lieten zien hoe ieder heeft geleid tot resultaten die niet alleen .nl en SIDN ten goede komen, maar ook onze partners en de bredere internetgemeenschap. Ons doel met de publicatie was de samenwerking te bevorderen tussen kleinere techorganisaties zoals SIDN en universiteiten.

Onze plannen voor 2026

We ronden onze analyse van de impact van PQC-algoritmes op DNSSEC af. We brengen een advies uit aan het DNS-team van SIDN en andere operators over de bruikbaarheid van tenminste 4 PQC-algoritmes, gebaseerd op ons werk uit 2025 over DNSSEC-signing en werk in 2026 waarbij we onderzoeken wat de impact van PQC-algoritmes is op DNSSEC-validatie. Voor dat laatste gebruiken we real-world geanonimiseerd DNS-verkeer. We zetten onze samenwerking met SURF en de Universiteit Twente hiervoor voort.

We ontwikkelen RPP verder door in de IETF, bijvoorbeeld door mee te schrijven aan nieuwe internetdrafts en de ontwikkeling van een RPP-prototype. De afronding in de vorm van een officiële IETF-standaard verwachten we in 2027, met daadwerkelijk gebruik (in productie) op zijn vroegst eind 2027. We werken in de IETF intensief samen met andere leden van de RPP-werkgroep, zoals DENIC (.de-registry) en Internet Stiftelsen (.se).

We voeren een studie uit naar de potentiële impact van BGP-kapingen op de .nl-nameservers op basis van metingen. We creëren een overzicht van resolvers in netwerken die kwetsbaar zijn voor een kaping van onze prefixes en stellen daarvoor netwerkconfiguratieverbeteringen voor om de impact te verlagen. Ook ontwikkelen we tools om tijdens een BGP-kaping snel te meten hoe groot de impact ervan is op resolvers en eindgebruikers en post-mortem-analyses van BGP-hijacks te versnellen, bijvoorbeeld voor SIDN’s DNS-team en die van andere DNS-operators. We gebruiken eigen meettools (bijv. Autocast en ENTRADA) en publieke databronnen (bijv. Route Collectors).

We bouwen ons anycasttestbed verder uit voor een grootschalige pilot met de NTS-pool. We evalueren gedurende 6 maanden hoe goed de pool werkt op basis van internetmetingen. Met de resultaten adviseren we toekomstige operators van de NTS-pool over de mechanismes om de service ‘geanycast’ en met accurate tijd aan te beiden. We richten ons daarbij ook op beleidsmakers die zich bezighouden met de weerbaarheid van de communicatie-infrastructuur in Nederland, zoals de overheid en de Cyber Security Raad. De software die we ontwikkelen maken we opensource. Het werk voeren we uit in nauwe samenwerking met Trifecta Tech en ICANN.

Samen met partijen als NLnet, CWI en SURF starten we een pilotnetwerk voor Nederland op basis van SCION, een alternatieve internetarchitectuur voor toepassingen met hoge securityeisen. Dat is inclusief multistakeholdereigenaarschap en governance van SCION-NL, het SCION-netwerkdomein dat we hiervoor eerder creëerden. Nu is een goed moment voor dit onderzoek, omdat SCION aardig wat tractie lijkt te krijgen bij partijen zoals Odido, Varity, CWI en NLix. We pakken hiermee ons SCION-werk weer op, nadat we als eerste in Nederland in 2019 aansloten op SCIONlab, in 2020 via een directe verbinding. We brengen ook in kaart welke rol SIDN mogelijk kan spelen, zoals in het DNS-achtige naamgevingssysteem van SCION of die van Certificate Authority voor SCION-NL.

Tot slot maken we onze databronnen geschikter voor AI-technieken zoals Graph Neural Networks en Transformers, zodat we er nog meer inzichten uit kunnen halen voor .nl, het internet en SIDN zelf. We ontwikkelen daarvoor generieke methodes waarmee we data die we veel gebruiken geautomatiseerd kunnen beschrijven op een AI-compatibele manier. We evalueren hoe goed die methodes werken via prototypes, zoals classificatie van het paginatype van .nl-websites en verbeterd inzicht in opzeggingsindicatoren. We zijn geïnteresseerd in een samenwerking met universiteiten die hun AI-expertise samen met ons toe wil passen voor het verhogen van internetsecurity.

Dankjewel voor 2025 en fijne feestdagen!

We bedanken alle SIDN-collega’s en onze onderzoekspartners voor de fijne samenwerking, die essentieel is voor een open, veilig en robuust .nl en een dito internet. Ook in 2026 publiceren we via deze site onze onderzoeksupdates en nodigen we je van harte uit om mee te denken en samen aan projecten te werken. Voor nu: fijne feestdagen!