Waarom Mullvad VPN?

Als u uw privacy aan ons toevertrouwt, verwachten we dat u deze vraag stelt.

Wat ons anders maakt

Anoniem account

We vragen niet om persoonlijke gegevens – zelfs niet uw e-mailadres – en moedigen anonieme betalingen aan met contant geld of cryptogeld.

Geen logs

Uw privacy is uw privacy. Daarom houden we uw activiteit niet bij in logs. Onze doelstelling op lange termijn is om zelfs geen betaalgegevens bij te houden.

Extern doorgelicht

We verzoeken om onafhankelijke audits van onze app en infrastructuur om transparantie te bieden en onze beveiliging te verbeteren.

Veilige jurisdictie

De wetten die voor ons als VPN-provider gebaseerd in Zweden relevant zijn, maken van onze locatie een veilige plaats voor ons en voor uw privacy.

Geïntegreerde kill switch

Als er verbindingsproblemen optreden terwijl Mullvad VPN ingeschakeld is, stopt de ingebouwde kill switch automatisch alle netwerkverkeer.

Geen betaalde recensies

We blijven weg van betaalde recensies en partners en laten in plaats daarvan onze prestaties voor zich spreken.

Intern ondersteuningsteam

We outsourcen uw problemen niet. Ons toegewijde ondersteuningsteam werkt nauw samen met onze ontwikkelaars om u geïnformeerde antwoorden te geven.

Vroege volgers

We hebben altijd al onderzoek gedaan naar talloze technologieën en beveiligingsfuncties die tegenwoordig standaard zijn voor VPN-services.

Eenvoudige installatie

Onze app is ontworpen zodat ook nieuwe klanten deze makkelijk kunnen gebruiken en hun privacy kunnen beschermen.

Kenmerken

Kenmerken

Windows

macOS

Linux

Android

iOS

Extern doorgelicht

Code is open source

Gesplitste tunneling

Aangepaste DNS-server

Multihopping

Port forwarding

Shadowsocks-proxy

Probleemmeldingen in de app

Blokkeren van advertenties en trackers¹

Automatische rotatie van WireGuard-sleutel

1. Android vereist handmatige configuratie.

Laptop met Mullvad verbonden

De technische details

Nieuwsgierig naar de protocollen, primitieven en andere prachtig nerdy details waarop Mullvad VPN gebouwd is? Alstublieft!

VPN-protocollen in de app

We ondersteunen twee protocollen voor de VPN-tunnel, OpenVPN en WireGuard:

  • We beperken OpenVPN tot TLS 1.3 (als besturingskanaal) en AES-256-GCM (als gegevenskanaal). Dit is geïmplementeerd in OpenSSL.
  • Voor WireGuard implementeren we de standaard Linux-kernel wanneer beschikbaar. Anders gebruiken we wireguard-go.

API-verbinding van app

De app gebruikt TLS 1.2 of 1.3, geïmplementeerd in Rustls om de communicatie met de API te versleutelen. Dit biedt twee functies:

  • De verbinding gebruikt certificate pinning om MitM-aanvallen te voorkomen.*
  • Om DNS-spoofing te omzeilen, maakt de app geen gebruik van DNS om het IP-adres voor de API te krijgen.*
*nog niet geïmplementeerd in iOS

App-firewall en -beveiliging

De app voorkomt lekken en maakt gebruik van een kill switch-functie door te integreren met de firewall van het systeem (WFP op Windows, nftables op Linux en PF op macOS). Meer informatie op onze GitHub-pagina

App-architectuur

Om de hoeveelheid code te beperken die als bevoorrechte gebruiker uitgevoerd wordt, wordt de app in twee delen opgesplitst:

  • niet-bevoorrechte frontends (inclusief een CLI)
  • een bevoorrechte systeemservice die op de achtergrond uitgevoerd wordt en de beveiliging van de tunnels en het apparaat bewaakt.
Meer informatie op onze GitHub-pagina

Servers

We hebben op al onze servers standaardconfiguraties en prioriteitsvolgordes ingevoerd voor de versleuteling om de sterkst beschikbare versleuteling te bieden voor elk tunnelprotocol.

OpenVPN-servers

Onze OpenVPN-servers hebben de volgende eigenschappen:

  • Er worden 4096-bits RSA-certificaten (met SHA512) gebruikt voor serverauthenticatie.
  • Er worden 4096-bits Diffie-Hellman-parameters gebruikt voor het uitwisselen van sleutels.
  • Er wordt DHE gebruikt voor perfect forward secrecy.
  • Er wordt een minimale TLS-versie 1.2 opgelegd voor het besturingskanaal, met TLS 1.3 beschikbaar.
  • Voor de recentste versies van de OpenVPN-client bieden we de volgende versleuteling, gebruikt in deze specifieke volgorde (tenzij de gebruiker een andere configuratie toepast):

    • versleuteling van besturingskanaal: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384
    • versleuteling van gegevenskanaal: CHACHA20-POLY1305, AES-256-GCM, AES-256-CBC.
  • Re-keying wordt elke 60 minuten uitgevoerd.

WireGuard-servers

WireGuard is eigenzinnig en biedt slechts één set cryptografische primitieven. Ga naar de WireGuard-website voor details.

Bridge-servers

Onze bridges maken verbinding met onze website, API en OpenVPN- en WireGuard-servers mogelijk op locaties waar toegang is geblokkeerd. Onze configuraties maken het lastig of onmogelijk om hierover toegang te krijgen tot iets dat niet versleuteld is, zodat het weinig uitmaakt welke versleuteling wordt gebruikt.

Blokkeren van server

Om onszelf, onze klanten en de kwaliteit van onze dienstverlening te beschermen, behouden we ons het recht voor om elk IP-adres of elke poort te blokkeren. We blokkeren altijd uitgaand verkeer naar de volgende poorten:

  • poort 25 - om spam te vermijden
  • poorten 137, 138, 139, 445 - om klanten te beschermen tegen een Microsoft SMB/CIFS-beveiligingsprobleem
  • poorten 1900 en 2869 - om klanten te beschermen tegen schadelijke UPnP-configuratie.