Hoe begrijp je wat WHOIS is?
WHOIS is in feite een responsprotocol dat wordt gebruikt om de databases te controleren die informatie bevatten over geregistreerde gebruikers van internetbronnen – meestal domeinen, IP-adressen en dergelijke. Wanneer je een WHOIS-query uitvoert, krijg je de registratiegegevens terug op een manier die voor mensen leesbaar is. Maar achter de schermen kan het natuurlijk behoorlijk ingewikkeld worden, vooral met privacyproblemen en wetsovertredingen die in de loop der jaren aan het licht zijn gekomen.
Het is niet alleen voor nieuwsgierige techneuten; wetshandhavers gebruiken WHOIS constant, vooral bij het opsporen van frauduleuze servers, phishingsites of andere louche activiteiten. Het probleem is dat domeinregistraties zoveel persoonlijke informatie bevatten dat het ook een goudmijn is voor spammers en hackers. Het systeem moest dus evolueren – of in ieder geval proberen te evolueren. En daar komen privacydiensten en de AVG om de hoek kijken, wat alles nog ingewikkelder maakt.
De geschiedenis van WHOIS
Begin jaren 70 zette Elizabeth Feinler een server op in Stanford om informatie over specifieke mensen en apparaten te verzamelen – een soort proto-WHOIS. Zij en haar team bedachten ook het concept van domeinnamen en het indelen van apparaten op locatie. Spoelen we door naar de jaren 80, toen het internet echt begon te exploderen, werd WHOIS gestandaardiseerd. Dat betekende dat je op een vrij uniforme manier informatie over domeinen en gebruikers kon opzoeken. Best handig, toch?
Maar naarmate het internet groeide, namen ook de problemen toe. Wildcard-zoekopdrachten, waarmee je mazen in de wet of massaal gegevens kon doorzoeken, werden verboden omdat mensen er misbruik van maakten. Toch bleef het systeem kampen met privacyproblemen en complicaties – vooral als het ging om het verkrijgen van realtime informatie of het controleren van de juistheid van de gegevens. Soms moet iemand die een domein registreert, al zijn gegevens opgeven – e-mailadres, telefoonnummer, adres. En in sommige gevallen is alle informatie openbaar, waardoor louche figuren gemakkelijk gegevens kunnen verzamelen. Niet ideaal.
WHOIS en ICANN
Wanneer u daadwerkelijk een domein registreert, is het niet de eindgebruiker die dit zelf doet – meestal wordt dit gedaan door een domeinregistrar. Een van de grote spelers hierin is ICANN (de Internet Corporation for Assigned Names and Numbers), die in principe de wereldwijde database voor al deze domeinen bijhoudt. Het werd ingewikkeld omdat registrars gebruikersgegevens moeten verzamelen en deze vaak openbaar maken, tenzij u privacybeschermingsdiensten afneemt.
Meestal zijn je e-mailadres, telefoonnummer en fysieke adres de minimale benodigde gegevens. Want al die rommel in WHOIS maakt het natuurlijk een doelwit voor misbruik. Daarom laten diensten je die gegevens nu vaak verbergen – in plaats daarvan sturen ze vragen door naar je daadwerkelijke gegevens, waardoor je privacy min of meer intact blijft. Toch proberen sommige louche types dat te omzeilen – daarom beperken veel WHOIS-servers zoeklimieten of gooien ze CAPTCHA’s in de weg.
WHOIS en AVG
Toen gooide de AVG plotseling roet in het eten. De AVG werd in mei 2018 ingevoerd voor EU-gebruikers en draait om de bescherming van persoonsgegevens – niet alleen voor websites, maar ook voor WHOIS-gegevens, wat voor veel registrars een nachtmerrie op het gebied van privacy werd. Ze zijn nu gedwongen gebruikersgegevens te verbergen of te versleutelen, tenzij de aanvrager kan aantonen dat ze een legitiem doel nastreven. Sommige registrars bewaren de gegevens gewoon lokaal, en mensen moeten rechtstreeks contact met hen opnemen, wat nogal lastig is als je legitiem probeert te achterhalen wie de eigenaar van een domein is.
Eerlijk gezegd zijn WHOIS-gegevens in hun oorspronkelijke vorm helemaal niet bedoeld voor privacy – best vreemd dat ze überhaupt zo ontworpen zijn. Maar met de AVG zijn de ethiek en rechtmatigheid van het openlijk delen van persoonlijke informatie opnieuw geëvalueerd. In sommige gevallen krijg je een algemeen openbaar contact dat doorstuurt naar de echte eigenaar, maar het is verre van perfect. Soms voelt het alsof je achter een gesloten deur probeert te gluren – je komt er misschien wel dichtbij, maar niet *helemaal* binnen.
De toekomst van WHOIS
Mensen vragen zich af of het oude WHOIS-systeem nog wel zinvol is. Vanwege de AVG en privacyproblemen stellen sommigen voor om het helemaal af te schaffen of te vervangen door iets moderners en internationaal vriendelijker. Het origineel was erg Amerikaans georiënteerd en werkt nu niet goed met internationale tekens en talen. Bovendien kampt het met coderingsproblemen, misbruik van wildcards en privacylekken.
De meesten zijn het erover eens dat een nieuw systeem, bijvoorbeeld een gedecentraliseerd of versleuteld systeem, beter zou kunnen werken in de huidige wereld. Maar wie gaat dat over de finishlijn slepen? Dat is nog onderwerp van discussie. Voorlopig moeten registrars nog een evenwicht vinden tussen transparantie en privacy, en dat is niet eenvoudig.
Afronding
Uiteindelijk is het hoofddoel van WHOIS om het voor mensen – inclusief wetshandhavers of legitieme kopers – gemakkelijk te maken om contact op te nemen met domeineigenaren of te verifiëren wie wat bezit. Maar die transparantie is ook een privacynachtmerrie geworden, met de opkomst van privacydiensten en wettelijke beperkingen tot gevolg. Het systeem zit als het ware in een vacuüm en probeert twee meesters tegelijk te dienen.
Hopelijk zal er, naarmate de inspanningen om de privacy van gebruikers te moderniseren en te respecteren toenemen, een slimmer en veiliger systeem ontstaan. Houd er voorlopig rekening mee dat wat u in WHOIS ziet niet altijd het volledige verhaal is, vooral niet met de AVG en privacyschilden.
Samenvatting
- WHOIS helpt bij het vinden van informatie over de domeineigenaar, maar geeft vaak persoonlijke gegevens prijs.
- De geschiedenis gaat terug tot de jaren 70 en evolueerde parallel aan de opkomst van internet.
- AVG en zorgen over privacy schudden het oudere systeem op.
- Veel registrars bieden tegenwoordig privacyopties aan, maar deze zijn niet waterdicht.
- De toekomst zal er wellicht heel anders uitzien, hopelijk veiliger en privater.
Afronding
Dit hele gedoe kan frustrerend zijn, vooral als je gegevens wilt verifiëren of frauduleuze domeinnamen wilt opsporen. Maar het is een kwestie van balanceren – tussen transparantie en privacy. Hopelijk levert de volgende versie minder hoofdpijn op. Gewoon iets dat op meerdere systemen werkt, en misschien bespaart deze informatie iemand ook hoofdpijn.