Wanneer je surft, tik je doorgaans een webadres op basis van een (sub)domeinnaam in. Daarmee zet je wel een heel systeem in werking, want achterliggend wordt naar de gewenste webserver op basis van het ip-adres gezocht. Er is dus een vertaalslag nodig en daar zorgt het DNS-protocol voor. Wat is DNS?

Wat is DNS?

DNS (Domain Name System) is een client-serversysteem dat via het gelijknamige protocol een ip-adres dat bij een hostnaam hoort (of omgekeerd) opzoekt in een gedistribueerde en dynamische database.

De oorsprong van het internet ligt bij het Amerikaanse DARPAnet (Defense Advanced Research Projects Agency Network). Aanvankelijk was dit netwerk nog voldoende behapbaar om de koppeling tussen ip-adressen en hostnamen in een statisch tekstbestand (host.txt) te vatten en nieuwe adressen handmatig toe te voegen. Het team dat deze lijst onderhield, ontwikkelde trouwens ook het concept van (sub)domeinen en zette een whois-directory op om administratieve gegevens van een host te achterhalen.

De explosieve groei van het internet vanaf de jaren 80 maakte de behoefte aan een geautomatiseerd systeem steeds groter en dit leidde tot het ontstaan van DNS in 1983. De specificaties werden in 1987 vastgelegd in RFC’s 1034 en 1035, de verdienste van computerwetenschapper Paul Mockapetris (https://kwikr.nl/rfc1034 en https://kwikr.nl/rfc1035). RFC’s (Request for Comments) zijn documenten die de protocollen en andere aspecten van het internet beschrijven.

Inmiddels hebben bijkomende RFC’s voor allerlei uitbreidingen van het DNS-protocol gezorgd. Op https://kwikr.nl/dnstl vind je hiervan een overzicht.

Zoekmechanisme

Wat gebeurt er nu wanneer je bijvoorbeeld www.pcmweb.nl in je browser intikt of een e-mail verstuurt naar iets als mailbox@pcmweb.nl?

In eerste instantie vraagt je netwerkapplicatie aan de lokale resolver naar de hostgegevens. Deze software kijkt normaliter eerst in het lokale hosts-bestand (in /etc/hosts of in %systemroot%\System32\etc\hosts). Vindt die niks, dan wordt mogelijk nog een (caching of forwarding) resolver binnen je eventuele bedrijf geraadpleegd. Geen succes? Dan gaat je DNS-verzoek naar een recursive resolver, kortweg recursor, zoals die van je internetprovider of van een DNS-provider als Google of Cloudflare. Kent ook die het antwoord niet, dan verzoekt deze aan de root-nameservers om de DNS-records voor www.pcmweb.nl in hun databases op te zoeken.

De kans is groot dat die als respons geven “ik vind de host niet, maar ik beschik wel over de DNS-gegevens van .nl; je checkt het daarom best even bij de tld-nameservers (topleveldomein) van .nl”. De recursor gaat hierop in en krijgt vervolgens wellicht de suggestie door “check het bij de sld-nameserver (secondleveldomein) van pcmweb.nl”, waarop die vermoedelijk zal reageren met het gezochte antwoord: www.pcmweb.nl A 149.210.193.187. De recursor stuurt dit vervolgens netjes terug naar je webapplicatie.

Merk ook op dat in dit proces alleen de recursor recursief werkt en het geretourneerde antwoord verwerkt en doorstuurt. De andere, gezaghebbende (authoritative) DNS-servers zijn van het iteratieve type en zorgen slechts voor een doorverwijzing. Dit is begrijpelijk, omdat recursie veel te intensief zou zijn voor de overbevraagde nameservers.

©PXimport

Caching

In de praktijk beschikken de resolvers ook over uitgebreide caches. Dat geldt tevens voor je eigen systeem. Zo beschikt niet alleen je besturingssysteem over een eigen DNS-cache – in Windows haal je die op met ipconfig /displaydns en maak je die leeg met ipconfig /flushdns – maar kunnen ook de internetapplicaties zelf een DNS-cache bevatten. In Chrome bijvoorbeeld beheer en leeg je die via chrome://net-internals/#dns en in Firefox via about:networking#dns.

Ook recursors beschikken normaliter over caches, bedoeld om de DNS-nameservers te ontlasten. Hoelang een DNS-record wordt gecachet, hangt af van de TTL-waarde (Time To Live) die in (het SOA-record van) het zogenoemde zonebestand van je DNS-server is ingesteld. In Windows Opdrachtprompt kun je deze waarde opvragen met een opdracht als nslookup -type=soa pcmweb.nl.

Door deze caching zal een wijziging in een DNS-record ook niet meteen overal worden gepropageerd – dat kan wel tot drie dagen duren. Daarom is het vaak een goed idee de TTL-waarde tijdelijk lager in te stellen, voordat je aanpassingen aan je DNS-records doorvoert.

©PXimport

DNS-records

We hebben het al even gehad over zogeheten zonebestanden (zone files) in de nameservers, die zowat alle informatie over een domeinnaam bevatten en in principe uit twee delen bestaan: richtlijnen, zoals het al vermelde $ TTL, en bronrecords (resource records). Deze laatste bevatten DNS-informatie over een specifieke host of internetbron. De IETF (Internet Engineering Task Force) heeft talrijke recordtypes gedefinieerd. We beperken ons hier tot enkele van de meest gebruikte.

Zo bevatten de al eerder vermelde SOA-records (Start Of Authority) administratieve informatie voor de complete zone, waaronder dus de TTL-waarde. A-records linken dan weer een domeinnaam aan IPv4-adressen, terwijl AAAA-records dat voor IPv6-adressen doen. Een CNAME (Canonical Name Record) verwijst naar een andere domeinnaam, wat handig is als je een subdomein hebt dat naar hetzelfde ip-adres als je hoofddomein mag verwijzen. Ook MX-records verwijzen naar een domeinnaam, maar hier is dat de doelserver voor e-mailverkeer.

Veiligheid en privacy

Sinds het ontstaan van DNS in 1983 werd tot voor kort eigenlijk uitsluitend het UDP-transportprotocol gebruikt, kortweg Do53 (DNS-over-UDP op poort 53). Hierbij wordt een DNS-query in leesbare tekst van de client naar de server verstuurd en ook de reply komt in leesbare vorm in zo’n UDP-pakket terug. Erg veilig of privacybewust is dit uiteraard niet, omdat er op dit niveau niet in encryptie of in enig authenticatiemechanisme wordt voorzien en je evenmin garanties krijgt op een succesvolle of niet-gemodificeerde aflevering.

Via een RFC werd daarom naderhand ook TCP (Transmission Control Protocol) als mogelijk transportprotocol toegevoegd en nog later werd het DNSCrypt-protocol ontwikkeld, dat encryptie toeliet aan de downstream-zijde van recursive DNS-resolvers.

Inmiddels werden er ook diverse andere DNS-transportroutes ontwikkeld, waaronder DNS-over-TLS (DoT), DNS-over-HTTPS (DoH), DNS-over-Quic (DoQ), DNS-over-HTTPS/3 (DoH3) en Oblivious DNS-over-HTTPS (ODoH). Bij Apple heet die laatste trouwens Private Relay.

©PXimport

De ontwikkeling van DNS

1983 Ontwikkeling van DNS

1985 Verdere ontwikkeling van DNS-serversoftware BIND

1989 Ook TCP kan worden ingezet voor DNS-query-transport (RFC 1123)

2000 BIND 9 (geheel nieuwe versie)

2011 DNSCrypt-protocol

2016 DoT

2018 DoH

2019 Toevoeging van een ‘geanonimiseerde’ modus aan DNSCrypt

2019 DNS-over-TOR

2021 ODoH

Met de L'OR Barista Absolu zet je thuis zowel warme als gekoelde koffie, om er naar eigen recept ijskoffie van te maken. In deze review bespreken we gebruiksgemak, smaak en consistentie, of de Enjoy Over Ice-stand en Intensity Boost echt verschil maken én of het prijskaartje van 129 euro (adviesprijs) dat waard is.

Design & bouw

De L’OR Barista Absolu is een compacte koffiemachine die werkt met de welbekende capsules. Hij weegt net geen 3,5 kilo en is 28,3 centimeter hoog, 16,2 centimeter breed en 39,6 centimeter diep. Het testexemplaar is uitgevoerd in matgrijs, met aan de achterzijde een waterreservoir met klepje en handig hengsel, en met een capaciteit van 1,2 liter. Bovenop zit een hendel die je naar boven kunt trekken om de capsule op de juiste plek in de machine te doen; daarachter zitten de bedieningsknoppen.

Aan de voorzijde onder het koffietuitje zit een opvangreservoir dat je los kunt halen. Deze is niet in hoogte te verstellen, maar wel los te halen om er een grote mok onder te zetten; handig bij de XXL-koffies. Als je het hele paneel naar voren trekt, zie je het bakje waar gebruikte capsules in vallen. Kortom: een overzichtelijk apparaat.

©Saskia van Weert

Handleiding & meegeleverde capsules

Er zit geen uitgebreide handleiding bij, alleen een boekje waarin met tekeningen wordt aangegeven hoe de machine werkt. Dat is voldoende duidelijk. Ook zit er bij de testmachine een doosje met tien originele L’OR-XXL-capsules om de machine mee te leren kennen.

©Saskia van Weert

Bediening & opties

De bediening en het aantal opties is eveneens vrij overzichtelijk. De Absolu kan overweg met twee formaten capsules: normaal en XXL. Het apparaat herkent het formaat automatisch, daar hoef je als gebruiker niets voor te doen. Er zitten vijf knoppen op. De drie grotere knoppen zijn voor ristretto, espresso en lungo. Daarachter zitten twee kleinere knoppen: links voor ijskoffie en rechts voor extra sterke koffie.

Wie zin heeft in koffie zorgt voor een gevuld waterreservoir, een capsule op de juiste plek en met een druk op de knop gaat de machine aan de gang. Hij is niet per se supersnel; het zetten van een lungo met een XXL-capsule duurt van het indrukken van de knop tot aan de laatste druppels ruim anderhalve minuut.

©Versuni

Iced coffee in de praktijk

De functie waarmee de Absolu wordt aangeprezen, is de ijskoffie. In de beleving van het testteam zijn dat zoete, vaak calorierijke lekkernijen om lekker van te genieten: een combinatie van koffie, zuivel en bijvoorbeeld karamelsaus. De verwachtingen zijn hooggespannen, maar na het bestuderen van de handleiding worden die toch wel flink getemperd.

Wat de machine doet als je de Enjoy Over Ice-knop indrukt en de gewenste hoeveelheid koffie (klein, middel of groot) kiest, is lauwe koffie produceren in een glas of mok waar je zelf eerst ijsklontjes in hebt gedaan. Het voordeel is dat de smaken van de koffie niet worden aangetast door de hitte en dat de koffie extra romig is. Maar je zult zelf aan de slag moeten met toevoegingen en toppings.

©Versuni

Eindoordeel

De Barista Absolu is een gebruiksvriendelijk, compact apparaat met een smaakvol uiterlijk. Hij is beschikbaar in wit, grijs en zwart, en past daardoor prima bij de meeste keukens. Het aantal gebruiksopties is overzichtelijk: ristretto, espresso of lungo in normaal of XXL-formaat, extra sterk of lauw om ijskoffie mee te maken. Er kan eigenlijk niks misgaan tijdens het gebruik. Hij werkt met capsules die na gebruik gemakkelijk worden weggegooid door het opvangbakje in een vuilnisbak te legen.

Ben je een liefhebber van dit type koffie, dan is het een prima apparaat. De functie waarmee hij wordt aangeprezen, namelijk de ijskoffie, stelt helaas teleur. Fijnproevers waarderen waarschijnlijk het behoud van de aroma's door de koffie lauw te zetten, maar als je aan de slag gaat met slagroom en zoete sausjes valt dit voordeel helemaal weg. Speciaal voor de ijskoffie hoef je hem niet te kopen, je kunt even goed je kopje koffie in de koelkast zetten als je zin hebt in een luxe ijskoffie.

Naast Chrome is Microsoft Edge een van de populairste webbrowsers. Edge bouwt voort op dezelfde basis als Chrome, maar onderscheidt zich vooral met extra functies voor veiligheid en privacy. Daarmee verklein je de kans dat websites je volgen of gevoelige gegevens onderscheppen.

Lees ook: Alternatieve browsers: surf ook eens op een andere golf

Voorkom tracking

Klik in de rechterbovenhoek op de drie puntjes om het menu te openen. Selecteer Instellingen en kies in de linkerkolom Privacy, zoeken en services. Daar vind je de optie Traceringspreventie. Zorg dat deze bescherming is ingeschakeld. Je kunt kiezen uit drie niveaus van traceringspreventie: Basis, Gebalanceerd en Strikt. Trackers worden meestal gebruikt om je gepersonaliseerde advertenties te sturen, maar ze geven ook andere persoonlijke gegevens door, zelfs aan websites die je nog nooit hebt bezocht. Kies je Basis, dan staat Edge de meeste trackers toe, het andere uiterste is Strikt, dat het merendeel van de trackers blokkeert. De eerste optie lijkt ons niet veilig en Strikt kan ervoor zorgen dat bepaalde websites niet naar behoren werken. Daarom raden we de optie Gebalanceerd aan als standaardinstelling.

Onder deze drie niveaus vind je de lijst van websites waarvan trackers alvast zijn geblokkeerd.

Scareware-blokker

Sluit het venster Traceringspreventie en open het onderdeel Beveiliging, dat iets lager staat. Daar activeer je de Scareware-blokker. Scareware is een methode waarbij hackers je proberen bang te maken met nepwaarschuwingen. Via deze meldingen stellen ze dan voor om software te downloaden die de zaak kan herstellen of dien je een bepaald nummer te bellen van een zogenaamde Microsoft-helpdesk. Als je de Scareware-blokker activeert, sta je toe dat Microsoft AI gebruikt om dit soort scams te detecteren en te blokkeren.

Betalingsmethoden

Bij Privacy, zoeken en services / Privacy activeer je ook de optie Niet volgen-verzoeken verzenden. Het effect is afhankelijk van de betreffende website. Websites kunnen beslissen om je browsegegevens toch te blijven verzamelen. Eronder vind je de optie Toestaan dat sites controleren of betalingsmethoden zijn opgeslagen. Hoewel het handig is om je betaalmethoden in een webbrowser op te slaan, raden we dit nooit aan. Ten slotte schakel je bij Privacy, zoeken en services / Privacy de bescherming in: Mogelijk ongewenste apps blokkeren.