Is openbare WiFi veilig zonder VPN?

Domeinnamen: bij een bezoek aan `nytimes.com` onthult het SNI-veld in de TLS-handshake het domein, ook al blijft het pad en de inhoud versleuteld. Wie passief meeluistert ziet welke sites je bezoekt.

DNS-lookups: meestal nog onversleuteld, tenzij je DNS-over-HTTPS of DNS-over-TLS hebt aangezet. De volledige lijst van elke site die je apparaat opvraagt is zichtbaar.

App-verkeer zonder TLS: zeldzaam in 2026, maar niet nul — sommige legacy-apps en IoT-apparaten sturen tokens of telemetrie nog in klare tekst.

Een aanvaller zet een SSID `Hilton-Guest` op naast het echte hotelnetwerk. Je apparaat verbindt met het sterkste signaal. Het kastje van de aanvaller ziet nu al je DNS, kan je nep-captive-portals serveren die om inloggegevens vragen, en kan MITM uitvoeren op alles dat geen strict pinning gebruikt.

Een VPN slaat dit volledig dicht: zelfs op een vijandig netwerk ziet de aanvaller alleen versleuteld verkeer naar het IP van je VPN-aanbieder.

Drie concrete voordelen op openbare WiFi: hij verbergt DNS-lookups voor het netwerk, hij verbergt de SNI-domeinstroom, en hij maakt evil-twin-aanvallen zinloos omdat je uit het lokale netwerk tunnelt voor je iets anders doet.

Praktisch advies: behandel openbare WiFi als untrusted, gebruik een VPN als je iets gaat doen waarbij je inlogt, en als dat niet zo is, vertrouw gewoon op HTTPS — die doet vandaag het meeste werk.