Overslaan naar hoofdcontent

Waarom Mullvad VPN?

Sinds 2009 zetten we uw privacy op de eerste plaats. Laat ons presenteren wat u krijgt met Mullvad VPN.

Two mobile phones using Mullvad VPN

Anoniem account

We vragen niet om persoonlijke gegevens – zelfs niet uw e-mailadres – en moedigen anonieme betalingen aan met contant geld of cryptogeld.

Geen logs

Uw privacy is uw privacy en daarom leggen wij uw activiteiten niet vast. Ons doel op lange termijn is om zelfs geen betalingsgegevens op te slaan.

Extern doorgelicht

We verzoeken onafhankelijke audits van onze app en infrastructuur om transparantie te bieden en onze beveiliging te verbeteren.

Veilige jurisdictie

De wetten die voor ons als VPN-provider gevestigd in Zweden relevant zijn, maken van onze locatie een veilige plaats voor ons en voor uw privacy.

Geïntegreerde kill switch

Als er verbindingsproblemen optreden terwijl Mullvad VPN ingeschakeld is, stopt de ingebouwde kill switch automatisch alle netwerkverkeer.

Geen betaalde recensies

We blijven weg van betaalde recensies en partners en laten in plaats daarvan onze prestaties voor zich spreken.

Intern ondersteuningsteam

We besteden onze ondersteuning niet uit. Ons toegewijde ondersteuningsteam werkt samen met onze ontwikkelaars om u antwoorden op uw vragen te geven.

Pioniers

We hebben veel technologieën en beveiligingsfuncties ontwikkeld die vandaag de dag als standaard worden beschouwd. We werken ook nauw samen met universiteiten.

Bestrijdt verkeersanalyse

Zelfs als u uw verkeer versleutelt met een VPN, is er nog steeds een risico dat uw verkeer kan worden geanalyseerd. Daarom hebben we DAITA (Defense Against AI-guided Traffic Analysis) ontwikkeld.

Kwantumbestendige VPN-tunnels

U kunt voor kwantumbestendige VPN-tunnels kiezen op al onze ondersteunde platformen. In het geval toekomstige kwantumcomputers erin slagen de huidige versleuteling te kraken.

DNS-opvragingen via versleutelde tunnel

Wanneer u Mullvad VPN gebruikt, gaan al uw DNS-opvragingen (waarbij websiteadressen worden omgezet naar IP-adressen) door de versleutelde VPN-tunnel.

Multihop

Met onze multihop-functie kun u uw verkeer via twee of meer servers op verschillende locaties en in verschillende rechtsgebieden leiden.

Kenmerken

Windows

macOS

Linux

Android

iOS

Extern doorgelicht

Code is open source

Gesplitste tunneling

Aangepaste DNS-server

Multihop

OpenVPN over Shadowsocks

WireGuard over Shadowsocks

WireGuard via TCP

Automatische rotatie van WireGuard-sleutel

Probleemmeldingen in de app

DNS-contentblokkeringen

Kwantumbestendige tunnels

DAITA
  1. Split tunneling is alleen beschikbaar op macOS 13 en hoger
Laptop with Mullvad connected

De technische details

Nieuwsgierig naar de protocollen, primitieven en andere details waarop Mullvad VPN gebouwd is? Alstublieft!

VPN-protocollen in de app

We ondersteunen twee protocollen voor de VPN-tunnel, OpenVPN en WireGuard:

  • We beperken OpenVPN tot TLS 1.3 (als besturingskanaal) en AES-256-GCM (als gegevenskanaal). Dit is geïmplementeerd in OpenSSL.
  • Voor WireGuard implementeren we de standaard Linux-kernel wanneer beschikbaar. Anders gebruiken we wireguard-go.

App-API-verbinding

De app gebruikt TLS 1.2 of 1.3, geïmplementeerd in Rustls* om de communicatie met de API te versleutelen. Dit biedt twee functies:

  • De verbinding gebruikt certificate pinning om MitM-aanvallen te voorkomen.
  • Om DNS-spoofing te omzeilen, maakt de app geen gebruik van DNS om het IP-adres voor de API te krijgen.
*Op iOS wordt de standaard TLS gebruikt die door URLSession wordt ondersteund

Appfirewall en -beveiliging

De app voorkomt lekken en maakt gebruik van een kill switch-functie door te integreren met de firewall van het systeem (WFP op Windows, nftables op Linux en PF op macOS). Meer informatie op onze GitHub-pagina

Apparchitectuur

Om de hoeveelheid code te beperken die als bevoorrechte gebruiker uitgevoerd wordt, wordt de app in twee delen opgesplitst:

  • niet-bevoorrechte frontends (inclusief een CLI))
  • een bevoorrechte systeemservice die op de achtergrond uitgevoerd wordt en de beveiliging van de tunnels en het apparaat bewaakt.
Meer informatie op onze GitHub-pagina

Servers

We hebben op al onze servers standaardconfiguraties en prioriteitsvolgordes ingevoerd voor de versleuteling om de sterkst beschikbare versleuteling te bieden voor elk tunnelprotocol.

OpenVPN-servers

Onze OpenVPN-servers hebben de volgende eigenschappen:

  • Er worden 4096-bits RSA-certificaten (met SHA512) gebruikt voor serverauthenticatie.
  • Er worden 4096-bits Diffie-Hellman-parameters gebruikt voor het uitwisselen van sleutels
  • Er wordt DHE gebruikt voor perfect forward secrecy.
  • Er wordt een minimale TLS-versie 1.2 opgelegd voor het besturingskanaal, met TLS 1.3 beschikbaar.

  • Voor de recentste versies van de OpenVPN-client bieden we de volgende versleuteling, gebruikt in deze specifieke volgorde (tenzij de gebruiker een andere configuratie toepast):

    • versleuteling van besturingskanaal: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
    • versleuteling van gegevenskanaal: CHACHA20-POLY1305, AES-256-GCM.
  • Re-keying wordt elke 60 minuten uitgevoerd.

WireGuard-servers

WireGuard is eigenzinnig en biedt slechts één set cryptografische primitieven. Ga naar de WireGuard-website voor details.

Bridge-servers

Onze bridges maken verbinding met onze website, API en OpenVPN- en WireGuard-servers mogelijk op locaties waar toegang is geblokkeerd. Onze configuraties maken het lastig of onmogelijk om hierover toegang te krijgen tot iets dat niet versleuteld is, zodat het weinig uitmaakt welke versleuteling wordt gebruikt.

Serverblokkering

Om onszelf, onze klanten en de kwaliteit van onze dienstverlening te beschermen, behouden we ons het recht voor om elk IP-adres of elke poort te blokkeren. We blokkeren altijd uitgaand verkeer naar de volgende poorten:

  • poort 25 - om spam te vermijden
  • poorten 137, 138, 139, 445 - om klanten te beschermen tegen een Microsoft SMB/CIFS-beveiligingsprobleem
  • poorten 1900 en 2869 - om klanten te beschermen tegen schadelijke UPnP-configuratie.