Hoe Usenet SSL-versleuteling werkt: Poorten, TLS en 256-bit beveiliging

SSL (Secure Sockets Layer) en zijn opvolger TLS (Transport Layer Security) versleutelen de verbinding tussen uw newsreader en de Usenet-server. Wanneer u verbinding maakt met NewsDemon op poort 563, wordt via een TLS-handshake een versleutelde tunnel opgezet. Alles wat door die tunnel gaat - uw inloggegevens, de newsgroups waartoe u toegang heeft, de artikelen die u downloadt, de berichten die u plaatst - is versleuteld en onleesbaar voor iedereen tussen u en de server. Dat omvat uw provider, uw netwerkbeheerder en iedereen die op uw wifi meeluistert.

Ons beveiligingsoverzicht behandelt de basis. Deze pagina gaat dieper in op hoe SSL/TLS daadwerkelijk werkt voor Usenet-verbindingen.

Poort 563 (SSL/TLS) - Altijd gebruiken

Poort 563 is de standaard NNTP-over-SSL-poort. Wanneer uw newsreader verbinding maakt op deze poort, vindt de TLS-handshake plaats voordat NNTP-commando's worden verzonden. Alles is versleuteld vanaf de eerste byte. Dit is de poort die u voor alle verbindingen met NewsDemon moet gebruiken.

Poort 443 (alternatieve SSL) - Back-upoptie

Poort 443 is de standaard HTTPS-poort. Sommige providers of bedrijfsfirewalls blokkeren poort 563, maar laten 443 open omdat deze wordt gebruikt voor normaal webbrowsen. Als u geen verbinding kunt maken op poort 563, probeer dan 443. De versleuteling is identiek; alleen het poortnummer verandert.

Poort 119 (onversleuteld) - Niet gebruiken

Poort 119 is de oorspronkelijke NNTP-poort zonder versleuteling. Uw provider kan alles zien: welke newsgroups u bezoekt, welke artikelen u downloadt, uw gebruikersnaam en wachtwoord. Er is geen reden om poort 119 in 2026 te gebruiken. Sommige providers beperken actief het verkeer op deze poort omdat ze het als Usenet kunnen identificeren.

Wanneer uw newsreader verbinding maakt met NewsDemon op poort 563, gebeurt het volgende op de achtergrond:

1. Client Hello. Uw newsreader stuurt een bericht met daarin welke TLS-versies en cipher suites hij ondersteunt.

2. Server Hello. NewsDemon antwoordt met de gekozen TLS-versie en cipher suite, plus zijn SSL-certificaat.

3. Certificaatverificatie. Uw newsreader controleert of het certificaat geldig is, is uitgegeven door een vertrouwde autoriteit en overeenkomt met de servernaam.

4. Sleuteluitwisseling. Beide zijden genereren een gedeelde sessiesleutel met behulp van asymmetrische cryptografie. Deze sessiesleutel is uniek voor uw verbinding.

5. Versleutelde sessie begint. Alle volgende gegevens (NNTP-commando's, artikeloverdrachten, authenticatie) worden versleuteld met de sessiesleutel met behulp van een symmetrische cipher zoals AES-256.

Dit hele proces duurt milliseconden. U merkt geen vertraging. De versleutelingsoverhead op moderne hardware is verwaarloosbaar, meestal minder dan 1% van uw CPU en zonder meetbare impact op de doorvoer.

In april 2026 heeft NewsDemon X25519MLKEM768 hybride post-quantum-sleuteluitwisseling op alle NNTP-servers geïmplementeerd. Dit hybride schema combineert de klassieke elliptische-curve sleuteluitwisseling X25519 met het rooster-gebaseerde ML-KEM 768-algoritme (gestandaardiseerd door NIST in 2024). Het resultaat: bescherming tegen zowel klassieke als toekomstige aanvallen met kwantumcomputers.

Als uw Usenet-client OpenSSL 3.5.0 of nieuwer gebruikt, wordt de post-quantum-handshake automatisch onderhandeld. Oudere clients vallen naadloos terug op standaard X25519. Er zijn geen configuratiewijzigingen nodig.

Waarom dit belangrijk is: een aanvaller die vandaag uw versleutelde verkeer vastlegt, zou het kunnen opslaan en later ontsleutelen wanneer kwantumcomputers beschikbaar worden. Post-quantum-sleuteluitwisseling beschermt tegen deze "harvest now, decrypt later"-aanval. Uw Usenet-sessies blijven permanent privé. Lees alle technische details (Engels).

NewsDemon ondersteunt 256-bit AES-versleuteling. AES-256 is dezelfde cipher die wordt gebruikt door banken, overheden en militaire communicatie. Het "256-bit" verwijst naar de sleutellengte: er zijn 2^256 mogelijke sleutels, een getal zo groot dat brute-force kraken rekenkundig onmogelijk is met elke technologie die bestaat of voorzienbaar is.

In praktische termen: niemand ontsleutelt uw Usenet-verkeer. Niet uw provider, niet een hacker op uw wifi, niet een overheidsinstantie die passieve surveillance uitvoert. De wiskunde maakt het onmogelijk zonder de sessiesleutel, die alleen uw computer en de NewsDemon-server hebben.

SSL beschermt de inhoud. Uw provider kan niet zien wat u downloadt, welke newsgroups u bezoekt of uw inloggegevens. Ze kunnen zien dat u verbinding maakt met news.newsdemon.com, maar niets over wat er binnen die verbinding gebeurt.

Een VPN beschermt de bestemming. Met een ingeschakeld VPN kan uw provider niet eens zien dat u verbinding maakt met een Usenet-server. Ze zien alleen een verbinding met de VPN-server. Het VPN omhult de SSL-verbinding, dus u krijgt twee lagen versleuteling.

Voor de meeste gebruikers is SSL alleen voldoende. Een VPN voegt waarde toe als uw provider Usenet-verkeer beperkt, als u zich op een niet-vertrouwd netwerk bevindt, of als u wilt verbergen dat u überhaupt Usenet gebruikt.

Sommige providers gebruiken Deep Packet Inspection (DPI) om specifieke verkeerstypen te identificeren en te beperken. Onversleuteld NNTP-verkeer op poort 119 is gemakkelijk te identificeren en te beperken. SSL-versleuteld verkeer op poort 563 is veel moeilijker voor DPI om te classificeren omdat de inhoud versleuteld is.

Als u vermoedt dat uw provider Usenet beperkt, is de eerste stap om ervoor te zorgen dat u SSL gebruikt. Als u al op SSL zit en nog steeds trage snelheden ervaart, probeer dan poort 443 (moeilijker voor providers om te blokkeren zonder al het HTTPS-verkeer te breken). Als dat niet helpt, omzeilt een VPN provider-beperking volledig.