Whois-gegevens: veiligheid versus privacy

Je registreert een domeinnaam, en een tijdje later zie je opeens je persoonsgegevens open en bloot op internet staan. Dit ervaren sommige mensen als ze voor het eerst kennis maken met WHOIS-gegevens bij een domeinnaam. Wat zijn WHOIS-gegevens eigenlijk en waarom staan ze zo open en bloot op internet?

Voor elke domeinnaam die wordt geregistreerd worden de registratiegegevens opgeslagen in een database. Deze registratiegegevens bevatten de gegevens van de registrar (de partij via wie de domeinnaam is geregistreerd), het technisch contact, het administratieve contact, de registratiedatum en de nameservers. Maar ook alle contactgegevens van de aanvrager van de domeinnaam. Deze gegevens vormen samen de WHOIS-gegevens (Lees: Who is) van een domeinnaam.

Tot zo ver niets bijzonders, zij het niet dat deze WHOIS-gegevens vrij toegankelijk en voor iedereen vrij op te vragen zijn. Zo kun je via sidn.nl de gegevens bij een willekeurig .nl-domeinnaam opvragen. Ook zijn er aparte sites voor bijvoorbeeld .com en .org. Veel mensen schrikken even omdat ze hier van te voren niet bij stil gestaan hebben.

Vooral particulieren vinden het vaak niet wenselijk om zomaar al hun gegevens open en bloot op internet te hebben staan. Sinds begin 2010 laat de SIDN dan ook niet meer de adresgegevens en het telefoonnummer van een domeinnaamhouder aan iedereen zien maar alleen de naam en het e-mailadres. Echter voor internationale domeinnamen zijn nog wel alle gegevens te zien. Vooral vroeger werden WHOIS-gegevens misbruikt door spammers, tegenwoordig is de beveiliging hiertegen al beter.

Privacy versus veiligheid

ICANN (Internet Corporation for Assigned Names and Numbers) regelt de toewijzing van domeinnamen en houdt zich bezig met de veiligheid en beleid voor internet. Deze organisatie schrijft voor dat de WHOIS-gegevens openbaar zijn, omdat het anders moeilijk kan zijn om te achterhalen van wie een website/domeinnaam eigenlijk is. Het is immers niet verplicht contactgegevens op een site te vermelden, en het zou dus heel gemakkelijk worden om (tot op zekere hoogte) redelijk anoniem ‘kattenkwaad’ uit te halen met websites en domeinnamen.

Het is mogelijk om deze gegevens te laten verbergen. De verzoeker moet echter wel aantonen dat er sprake is van “bijzondere omstandigheden, die prevaleren boven de belangen die met openbaarheid van de desbetreffende gegevens gediend zijn”. Dit kan bijvoorbeeld bedreiging of stalking zijn. Er zijn ook hostingproviders waar het mogelijk is om domeinnamen te registreren op het adres van de betreffende partij. Een nadeel is echter dat als een website in een conflict terecht komt de provider ongewenst als tussenpersoon zal moeten fungeren aangezien het niet toegestaan is om zelf zomaar klantgegevens te verstekken aan derden. Daarom wordt er vaak wel een vergoeding voor gevraagd.

Whois privacy

Om toch te kunnen voldoen aan de steeds toenemende vraag naar privacy bieden sommige hostingproviders services voor Whois privacy aan. Dit houdt in dat een derde partij (bijv DomainsByProxy en WhoisGuard) tegen betaling zijn gegevens in de WHOIS laat opnemen in plaats van je eigen gegevens. Dit maakt het niet volledig anoniem, want in geval van een conflict zullen je gegevens wel gewoon doorgegeven worden. Ze zijn echter niet meer direct vrij voor iedereen op te vragen.

Whois gegevens zonder (links) en met privacy bescherming:

Er kleeft echter wel een groot nadeel aan als je zaken wilt doen op internet: betrouwbaarheid. Spammers en scammers gebruiken altijd whois privacy en dit is natuurlijk niet voor niets. Maar als je een betrouwbare website of bedrijf wilt beginnen, waarom zou je dan je gegevens willen verbergen? In dat geval zal het alleen maar wantrouwen opwekken. SPAM-filters schijnen zelfs al nieuwsbrieven en andere mailings verzonden vanaf een domein met WHOIS privacy eerder als SPAM aanmerken.

De ICANN blijft al jaren de mogelijkheden onderzoeken om anders om te gaan met de gegevens. Er is overwogen het makkelijker te maken gegevens te laten verbergen. Echt bleek uit onderzoek dat dit te veel deuren opende voor oplichters en domeinkapers. Ook onderscheid tussen zakelijk en particulier is ook overwogen. Echter aan elke wijziging kleven voor- en nadelen. Het zal altijd een afweging blijven in de balans tussen privacy en veiligheid.