Overslaan naar hoofdcontent

Waarom Mullvad VPN?

Sinds 2009 zetten we uw privacy op de eerste plaats. Laat ons presenteren wat u krijgt met Mullvad VPN.

Two mobile phones using Mullvad VPN

Anoniem account

We vragen niet om persoonlijke gegevens – zelfs niet uw e-mailadres – en moedigen anonieme betalingen aan met contant geld of cryptogeld.

Geen logs

Uw privacy is uw privacy en daarom leggen wij uw activiteiten niet vast. Ons doel op lange termijn is om zelfs geen betalingsgegevens op te slaan.

Extern doorgelicht

We verzoeken onafhankelijke audits van onze app en infrastructuur om transparantie te bieden en onze beveiliging te verbeteren.

Veilige jurisdictie

De wetten die voor ons als VPN-provider gevestigd in Zweden relevant zijn, maken van onze locatie een veilige plaats voor ons en voor uw privacy.

Geïntegreerde kill switch

Als er verbindingsproblemen optreden terwijl Mullvad VPN ingeschakeld is, stopt de ingebouwde kill switch automatisch alle netwerkverkeer.

Geen betaalde recensies

We blijven weg van betaalde recensies en partners en laten in plaats daarvan onze prestaties voor zich spreken.

Intern ondersteuningsteam

We besteden uw problemen niet uit. Ons toegewijde ondersteuningsteam werkt nauw samen met onze ontwikkelaars om u geïnformeerde antwoorden te geven.

Vroege volgers

We hebben altijd al onderzoek gedaan naar talloze technologieën en beveiligingsfuncties die tegenwoordig standaard zijn voor VPN-services.

Eenvoudige installatie

Onze app is ontworpen zodat ook nieuwe klanten deze makkelijk kunnen gebruiken en hun privacy kunnen beschermen.

Kenmerken

Windows

macOS

Linux

Android

iOS

Extern doorgelicht

Code is open source

Gesplitste tunneling

Aangepaste DNS-server

Multihop

Shadowsocks-proxy

Probleemmeldingen in de app

DNS-contentblokkeringen

Automatische rotatie van WireGuard-sleutel

Kwantumbestendige tunnels
Laptop with Mullvad connected

De technische details

Nieuwsgierig naar de protocollen, primitieven en andere details waarop Mullvad VPN gebouwd is? Alstublieft!

VPN-protocollen in de app

We ondersteunen twee protocollen voor de VPN-tunnel, OpenVPN en WireGuard:

  • We beperken OpenVPN tot TLS 1.3 (als besturingskanaal) en AES-256-GCM (als gegevenskanaal). Dit is geïmplementeerd in OpenSSL.
  • Voor WireGuard implementeren we de standaard Linux-kernel wanneer beschikbaar. Anders gebruiken we wireguard-go.

App-API-verbinding

De app gebruikt TLS 1.2 of 1.3, geïmplementeerd in Rustls* om de communicatie met de API te versleutelen. Dit biedt twee functies:

  • De verbinding gebruikt certificate pinning om MitM-aanvallen te voorkomen.
  • Om DNS-spoofing te omzeilen, maakt de app geen gebruik van DNS om het IP-adres voor de API te krijgen.
*Op iOS wordt de standaard TLS gebruikt die door URLSession wordt ondersteund

Appfirewall en -beveiliging

De app voorkomt lekken en maakt gebruik van een kill switch-functie door te integreren met de firewall van het systeem (WFP op Windows, nftables op Linux en PF op macOS). Meer informatie op onze GitHub-pagina

Apparchitectuur

Om de hoeveelheid code te beperken die als bevoorrechte gebruiker uitgevoerd wordt, wordt de app in twee delen opgesplitst:

  • niet-bevoorrechte frontends (inclusief een CLI))
  • een bevoorrechte systeemservice die op de achtergrond uitgevoerd wordt en de beveiliging van de tunnels en het apparaat bewaakt.
Meer informatie op onze GitHub-pagina

Servers

We hebben op al onze servers standaardconfiguraties en prioriteitsvolgordes ingevoerd voor de versleuteling om de sterkst beschikbare versleuteling te bieden voor elk tunnelprotocol.

OpenVPN-servers

Onze OpenVPN-servers hebben de volgende eigenschappen:

  • Er worden 4096-bits RSA-certificaten (met SHA512) gebruikt voor serverauthenticatie.
  • Er worden 4096-bits Diffie-Hellman-parameters gebruikt voor het uitwisselen van sleutels
  • Er wordt DHE gebruikt voor perfect forward secrecy.
  • Er wordt een minimale TLS-versie 1.2 opgelegd voor het besturingskanaal, met TLS 1.3 beschikbaar.

  • Voor de recentste versies van de OpenVPN-client bieden we de volgende versleuteling, gebruikt in deze specifieke volgorde (tenzij de gebruiker een andere configuratie toepast):

    • versleuteling van besturingskanaal: TLS_CHACHA20_POLY1305_SHA256, TLS_AES_256_GCM_SHA384.
    • versleuteling van gegevenskanaal: CHACHA20-POLY1305, AES-256-GCM.
  • Re-keying wordt elke 60 minuten uitgevoerd.

WireGuard-servers

WireGuard is eigenzinnig en biedt slechts één set cryptografische primitieven. Ga naar de WireGuard-website voor details.

Bridge-servers

Onze bridges maken verbinding met onze website, API en OpenVPN- en WireGuard-servers mogelijk op locaties waar toegang is geblokkeerd. Onze configuraties maken het lastig of onmogelijk om hierover toegang te krijgen tot iets dat niet versleuteld is, zodat het weinig uitmaakt welke versleuteling wordt gebruikt.

Serverblokkering

Om onszelf, onze klanten en de kwaliteit van onze dienstverlening te beschermen, behouden we ons het recht voor om elk IP-adres of elke poort te blokkeren. We blokkeren altijd uitgaand verkeer naar de volgende poorten:

  • poort 25 - om spam te vermijden
  • poorten 137, 138, 139, 445 - om klanten te beschermen tegen een Microsoft SMB/CIFS-beveiligingsprobleem
  • poorten 1900 en 2869 - om klanten te beschermen tegen schadelijke UPnP-configuratie.