[Red White Blue ribbon]

TimeNL

Publieke NTP-dienst

TimeNL

Is een Nederlandse internet-tijdservice, op basis van NTP (en PTP op verzoek). Dit is een initiatief van SIDN Labs. Op deze website leggen we deze stratum 1 NTP-dienst uit en nodigen we je uit om hem te gaan gebruiken!

Het Network Time Protocol (NTP) zorgt ervoor dat computers op het internet hun systeemklokken kunnen synchroniseren, zodat ze altijd tot op de milliseconde gelijk lopen. Stabiele en nauwkeurige tijd is essentieel voor de goede werking van allerlei applicaties. Nauwkeurige tijd is cruciaal voor het bepalen van de volgorde waarin gebeurtenissen plaatsvinden en is een fundamenteel aspect van transactie-integriteit, logging / audit, troubleshooting en forensisch onderzoek.

De experts van SIDN Labs hebben deze betrouwbare NTP-dienst opgezet en we bieden deze kosteloos aan, vrij te gebruiken door iedereen. Op deze website vertellen we je er alles over en leggen we uit hoe je optimaal gebruik kunt maken van TimeNL.

Hoe stel ik TimeNL in?

Kies hieronder het systeem waarvoor je TimeNL in wilt stellen.

Instellingen OSX

Je kunt hier meerdere NTP-servers opgeven, gescheiden door een komma. Op de commandline kan dit via systemsetup -setnetworktimeserver "ntp.time.nl" (activeer dit middels systemsetup -setusingnetworktime on). Je kunt ook meerdere NTP-servers rechtstreeks in het bestand /private/etc/ntp.conf opnemen.



Instellingen Windows stap 1

Instellingen Windows stap 2

Instellingen Windows stap 3

De afbeeldingen hierboven leggen de stappen voor een werkstation uit. Ben je systeembeheerder, kijk dan ook eens op de toelichting van Microsoft op de Windows Time Service.



# Voorbeeld 1: SIDN's ntp.time.nl als geprefereerde NTP-server (in pool-modus)
pool ntp.time.nl iburst prefer

# Voorbeeld 2: SIDN's ntp1.time.nl en ntp2.time.nl als NTP-server (in server-modus)
server ntp1.time.nl iburst
server ntp2.time.nl iburst

# Voorbeeld 3: SIDN's ntp.time.nl met authenticatie (niet standaard mogelijk, wel evt. op aanvraag)
server ntp1.time.nl iburst key 1

Onder Unix/Linux/BSD/etc. zijn verschillende NTP-pakketten beschikbaar, zoals NTP, NTPsec, Chrony, OpenNTPD (waar de 'pool'-directive servers heet, met een 's'), enz. Meestal hebben ze een ntp.conf-bestand (soms ook wel ntpd.conf genaamd) om de NTP-server in te configureren. Een voorbeeld hiervan staat hierboven, maar raadpleeg ook de documentatie van het betreffende pakket, want in detail kunnen er verschillen zijn. Zo werkt Ubuntu standaard met timesyncd, die soms in de weg zit als een ander NTP-pakket gewenst is. Maar, wil je geen ander NTP-pakket, dan is aanpassen van timesyncd simpel. Kort gezegd komt dit neer op; /etc/systemd/timesyncd.conf aanpassen. Zie man timesyncd.conf. Er is over dit alles veel informatie vinden op internet. En bij OpenNTPD wordt weight gebruikt in plaats van prefer.

Een andere optie is om niet met een daemon te werken, maar om vanuit CRON met enige regelmaat je server te synchroniseren. In het voorbeeld hieronder gebeurt dit wekelijks (op een vrij willekeurige tijd, dus niet bij minuut '0', om overbelastingspieken te vermijden), maar vaker mag natuurlijk ook. Doe het echter niet vaker dan 1 x per uur (en niet op het hele uur, maar ergens willekeurig).

# ntpdate elke woensdag om 4 minuten over 11:00 u
04 11 * * 3 /usr/sbin/ntpdate ntp.time.nl 2>&1 >/dev/null
#


Cisco IOS and NX-OS:

router# config t
Enter configuration commands, one per line. End with CNTL/Z.
router(config)# no ntp server
router(config)# ntp server ntp.time.nl prefer
router(config)# copy running-config startup-config

In het voorbeeld hierboven is het aan te bevelen om, naast ntp.time.nl, nog enkele andere betrouwbare stratum 1 servers op te nemen (zonder de 'prefer'-toevoeging).

Juniper Junos:

system {
    ntp {
         server ntp.time.nl prefer;
    }
}

In het voorbeeld hierboven is het aan te bevelen om, naast ntp.time.nl, nog ekele andere betrouwbare stratum 1 servers op te nemen (zonder de 'prefer'-toevoeging).



Veelgestelde vragen

Klik op de vraag om het antwoord uit te klappen.

Antwoord: Kort gezegd; omdat het past bij onze rol.
SIDN Labs is het onderzoeksteam van SIDN. Als team staan we pal voor de verbetering en verdere beveiling en innovatie van het internet. Hier dragen wij actief aan bij. Als beheerder van het .nl-landendomein hebben we een reputatie hoog te houden. We zorgen ervoor dat iedereen, altijd, de .nl-domeinnamen onder ons beheer kan bereiken op basis van DNS (Domain Name System). Die wereldwijde beschikbaarheid van ruim 6,3 miljoen .nl-domeinnamen beschouwen we als een topprioriteit die we heel serieus nemen. Daarom hebben we flink geïnvesteerd in kennis, kunde en een degelijke infrastructuur. We beschikken over ruime ervaring met deze zogenaamde 'publieke kern van het internet', waar DNS onder valt. Ook (publiekelijke) NTP is wat ons betreft in zekere zin zo'n infrastrucurele dienst. En die opzetten, onderhouden en belangeloos ter beschikking stellen aan de internetgemeenschap sluit aan bij onze visie en past dan ook prima in ons straatje. We denken dat onze ervaring en kennis prima van pas komt bij het beter op de kaart zetten van het belang van NTP. Om die reden stellen we deze dienst gratis en belangeloos voor iedereen beschikbaar met dezelfde passie en kwaliteit die je van ons gewend bent voor .nl en onze andere diensten.

Rapport 'publieke kern van het internet
Nederlandse internet-tijdservice?
We zijn, als registry van het .nl-landendomein natuurlijk behoorlijk trots op TimeNL en beschouwen dat toch wel een beetje als de (weliswaar officieuze) 'Nederlandse internet-tijdservice', zoals die van het Verenigd Koninkrijk, Nieuw-Zeeland, Zweden, België, Duitsland en de Verenigde Staten.


Antwoord: We hebben hard ons best gedaan om een degelijke en betrouwbare NTP-dienst op te zetten.

Je mag van ons verwachten dat we ons inspannen om een NTP-dienst van goede kwaliteit aan te bieden en te onderhouden. We investeren in kennis en kunde, in infrastructuur, in veiligheid, in moderne versies van software, in support van nieuwe standaarden, in voldoende capaciteit en in monitoring van de kwaliteit. De basisdienst is gratis en voor iedereen beschikbaar, zowel via IPv4 als IPv6. Wil je meer, bijvoorbeeld 'authenticated NTP', dan is dat bespreekbaar maar kunnen we daar eventueel een vergoeding voor vragen. Die keuze is aan ons.

Aangaande nauwkeurigheid mag je van ons verwachten dat we bieden wat mogelijk is binnen de beperkingen van NTP. Een uitzondering hierop vormen onze experimentele systemen. Vanwege hun experimentele karakter kan de nauwkeurigheid hier wat meer fluctueren.

Natuurlijk houden we een vinger aan de pols als het gaat om misbruik[*]. Dat tolereren we niet. We behouden ons dus het recht voor om je doormiddel van filtering of rate limiting de toegang tot de dienst geheel of gedeeltelijk te ontzeggen. We stellen ook alles wat nodig is in het werk om misbruik tegen te gaan, zowel op technisch- als juridisch gebied.

Verder aanvaarden we op geen enkele manier aansprakelijkheid voor het niet (goed) kunnen gebruiken van onze dienst. Je gebruikt TimeNL voor eigen risico en hebt hier dus ook een eigen verantwoordelijkheid. Zorg er dan ook voor dat je waar nodig niet uitsluitend op onze NTP-dienst vertrouwt, maar stel bijvoorbeeld in je eigen stratum 2 servers, ook NTP-diensten van derden in. Heb je daar vragen over, dan adviseren we je graag. Overigens is het goed mogelijk dat we op termijn onze capaciteit uitbreiden en meerdere afzonderlijke NTP-servers aanbieden waarop je dan kunt gaan vertrouwen. We behouden ons wel het recht voor om zonder aankondiging vooraf wijzigingen aan te brengen aan onze dienst. Natuurlijk berichten we hier, onder normale omstandigheden, ruim vooraf over. Dit doen we via deze website en/of via onze social media kanalen.

[*] We hanteren een fair-use beleid. De standaardinstellingen van de meeste NTP-software zorgen ervoor dat je ruim binnen onze marges blijft, met bijvoorbeeld een poll-interval van 1024s. Werk je via een cronjob, dan is een interval van 1 x per 30 minuten waarschijnlijk ruim voldoende. Uiteraard is het geen probleem als je hier bij wijze van uitzondering tijdelijk van wil afwijken. Maar maak het niet te bont.



Antwoord: Eigenlijk niks bijzonders. Bij de vraag over service levels vertellen we je wel het een en ander over wat je van ons mag verwachten en als je een leverancier bent van producten waar je een NTP-server in hebt opgenomen, kijk dan ook even bij het antwoord op de vraag daarover. Tja, en verder... nog even dit:

Disclaimer
Ondanks dat we onze (experimentele) diensten met de grootste zorgvuldigheid ontwikkelen, garanderen we niet dat deze dienst (foutloos) werkt. Gebruik van deze dienst is geheel voor eigen risico. SIDN (Labs) is niet aansprakelijk voor eventuele schade die geleden wordt als gevolg van het gebruik, of niet kunnen gebruiken, van haar (experimentele) diensten en we behouden ons het recht voor om deze diensten op ieder gewenst moment, zonder voorafgaande mededeling, te beëindigen.



Antwoord: Natuurlijk is TimeNL niet de enige NTP-dienst die beschikbaar is op het internet. Gelukkig maar. Er zijn behoorlijk wat alternatieven. Toch zijn er wel een aantal punten waarop wij ons onderscheiden van anderen. We sommen ze hier graag even voor je op:

  • Verzorgd door SIDN, het vertrouwde bedrijf achter .nl. Een stabiele organisatie met veel operationele kennis in huis en ISO 27001 gecertificeerd.
  • Vanuit Nederland, voor Nederland - met zorg ontwikkeld en beheerd door gedreven, nieuwsgierige nerds (😉) die oog (en hart) hebben voor 'de publieke kern van het internet'. Kijk voor meer details hierover ook even bij het onderdeel 'kenmerken en achtergrondinformatie' en het antwoord op de vraag 'welke service levels mag ik verwachten'?
  • Geen 'big tech' company, maar een toegankelijke partij, die je kunt bellen of mailen met vragen en die (wel) oog heeft voor jouw privacy.
  • Veiliger, omdat bij ons 'Network Time Security' (NTS) en, in bepaalde gevallen, 'authenticated NTP' mogelijk zijn en time.nl voorzien is van DNSSEC.
  • Niet alleen afhankelijk van het Amerikaanse GPS systeem, maar (o.a.) ook gekoppeld aan het Europese Galileo en het Duitse DCF077 signaal.
  • Up-to-date software; we patchen zodra het kan naar de laatste versie van de firmware. Dat klinkt logisch, maar dat gebeurt toch lang niet overal en altijd.
  • Op rubidium gebaseerde holdover-klok.
  • BGP anycast.
  • Uiteraard, naast IPv4, ook via IPv6 bereikbaar.
GNSS en DCF77 antennes op dak SIDN


NTP stratum Antwoord: Dit ligt onder meer aan de bedrijfsgrootte. Je kunt al jouw gebruikers laten communiceren met onze NTP-server. Maar bij grotere aantallen gebruikers kan het zinvol zijn om een eigen, interne NTP-server te configureren en daar de gebruikers hun tijd mee te laten synchroniseren. Dit noemen we een zogenaamde stratum 2 server. Deze kan op zijn beurt de tijd weer synchroniseren aan (o.a.) onze stratum 1 server. Op die manier wordt onze server minder zwaar belast en hoef jij jouw eventuele firewall niet voor elke gebruiker open te zetten. Bij nog grotere omgevingen, kun je dit zelfs verder uitbreiden naar stratum 3. Hoe zo'n opbouw werkt, zie je in de afbeelding.

De gele pijlen duiden op een directe koppeling met een referentieklok. Onze stratum 1 server heeft die. De rode pijlen duiden op een netwerkverbinding (over het internet) met 'bovenliggende' servers. Bijvoorbeeld je stratum 2 of 3 server(s), die hun tijd ophalen bij (onder andere) onze stratum 1 server(s).

Het is doorgaans een goed idee om niet te vertrouwen op een enkele NTP-server voor tijdsynchronisatie. Totdat wij ons serverpark uitbreid hebben, raden we je aan om meerdere NTP-servers van andere aanbieders in Nederland te configureren. Zoals bijvoorbeeld (maar niet uitsluitend):

  • chime1.surfnet.nl
  • time1.esa.int
  • ntp.vsl.nl
  • ntp.ripe.net

Met symbolen geven we de vermoedelijke (primaire) referentieklok weer van deze systemen, dus voor GNSS (d.w.z. GPS en geen anderen voor zover ons bekend) en voor atoomklok. Er zijn nog veel meer goede NTP-servers, zowel in Nederland als de ons omringende landen. Dus dit was slechts een suggestie.



Antwoord: Het is in strijd met onze gebruikersvoorwaarden om 'ntp.time.nl' hard te coderen in bijvoorbeeld firmware van jouw producten, als deze op grote schaal in de markt worden gezet. Als je iets dergelijks zou willen, neem dan contact met ons op. We hanteren hier namelijk hetzelfde beleid als het NTP-pool project. Dat wil zeggen dat we voor jouw toepassing een speciale naam reserveren ('ntp.merknaam.time.nl') en je wensen samen doorspreken, zodat we beter kunnen anticiperen op het mogelijke risico van capaciteitsoverschrijdingen.



Antwoord: Vooropgesteld; we zijn geen juristen. Maar we kunnen je melden dat NTP een aanbevolen standaard is op de zogenaamde pas-toe-of-leg-uit lijst van het Forum Standaardisatie van de overheid. Dat kan betekenen dat je moet zorgen voor goede NTP tijdsynchronisatie in je netwerk en onze dienst kan daar een prima rol bij spelen. Behoorlijke tijdsynchronisatie is ook een vereise voor ISO-27001 certificering.

In binnen- en buitenland is of wordt nagedacht over kwaliteitseisen die gelden voor tijdsynchronisatie. Ook in Europees verband zijn eisen geformuleerd. En als jij de expert bent op dit gebied; praat ons dan gerust bij, want we leren graag!



Antwoord: Privacy en de AVG hebben wij hoog in het vaandel staan. We slaan je gegevens ( = IP-adres) niet op en gebruiken deze niet voor andere doeleinden dan voor het optimaal in de lucht houden van deze dienst en het verbeteren van NTP in het algemeen. Lees op de site van ons privacyboard hoe wij omgaan met je privacy.



Antwoord: We informeren je over deze dienst via deze website, de SIDN Labs website, 𝕏 en eventueel ook via onze de corporate website van SIDN.



Antwoord:



Antwoord: De domeinnaam 'time.nl', waaronder we deze dienst aanbieden, hebben we beveiligd met DNSSEC. Als jouw systeem dit ondersteunt, kun je erop vertrouwen dat je niet naar het verkeerde IP-adres wordt gestuurd als je naar 'ntp.time.nl' wil gaan. Voor de goede werking van DNSSEC is de juiste tijd trouwens belangrijk. In sommige situaties levert dat een kip/ei-probleem op. Bijvoorbeeld als systemen zonder 'embedded' Real Time Clock (RTC) opstarten, nog geen besef hebben van de tijd (ze denken dat het 1-1-1970 is), maar toch DNSSEC-validatie willen doen om het IP-adres van 'ntp.time.nl' te vinden (wat dan vervolgens niet lukt). Hiervoor zijn al oplossingen bedacht, al blijft het nog wel een aandachtspunt. Voor systemen die wel (ongeveer) gelijklopen qua tijd, is dit geen probleem.



Antwoord: De standaard (gratis en anonieme) publieke dienst heeft dat niet. Maar authenticatie op basis van 'symmetric keys' behoort wel tot de mogelijkheden bij geregistreerde gebruikers. Laat het ons weten als je hier behoefte aan hebt en waarom. De beslissing of we je dit vervolgens kunnen aanbieden ligt bij ons, evenals de beslissing of we dit kosteloos doen of tegen een geringe vergoeding. We stellen wel wat eisen. Zo gebruiken we bijvoorbeeld geen MD5-algoritme voor onze keys. Ook het 'autokey'-protocol vinden we niet veilig genoeg. Gebruik je OpenNTPd, dan zijn zogenaamde 'TLS constraints' misschien nog wel een optie voor je. We ondersteunen ook het Network Time Security (NTS) protocol. Zie hieronder.



Antwoord: Network Time Security (NTS) is een relatief nieuwe standaard, waar we al geruime tijd ondersteuning voor aanbieden in de vorm van een pilot. Sinds begin 2022 is NTS echter ook beschikbaar in onze productieomgeving. Zie https://nts.time.nl.



Antwoord: Nee, roughtime' ondersteunen we nog niet.



Antwoord: Het Precision Time Protocol (PTP) is een nog accuratere vorm van tijdsynchronisatie, die hele specifieke toepassingen kent. Standaard bieden wij dit niet aan, maar het behoort wel tot de mogelijkheden. Als je interesse hebt, neem dan contact met ons op.



Antwoord: Dat is een publieke, experimentele NTP-server op basis van anycast. Deze bestaat uit tientallen servers, verspreid over de hele wereld. Afhankelijk van waar je bent op de wereld, kom je bij de dichtstbijzijnde server om je tijd mee te synchroniseren. Hij is geconfigureerd op ons anycast-testbed. We ontvangen duizenden NTP-vragen van over de hele wereld op dit anycast-testbed, omdat het systeem onderdeel is van de NTP-pool.



Antwoord: Dat zijn eveneens publieke NTP-servers (op basis van unicast). Het zijn krachtige systemen die heel wat NTP-vragen aankunnen en die onderdeel zijn van de NTP-pool. Naast NTP, ondersteunen ze ook NTS (RFC8915).



Antwoord: Hebben we wel overwogen, maar we wilden iets moois maken. Dus niet zoiets simpels als een JavaScript-ding dat feitelijk niet meer laat zien dan de lokale tijd op je computer (zelfs als die niet gelijk loopt), maar juist een klok die laat zien of je PC gelijk of ongelijk loopt. Totdat we erachter kwamen dat onze vrienden bij het Duitse PTB al zoiets gemaakt hadden, waar we eigenlijk niet tegenop kunnen (maar die we wel hebben aangepast naar een eigen versie). Oh en is jouw apparaat echt goed 'in sync'? Dan vind je deze stationsklok misschien wel leuk.



Kenmerken en achtergrondinformatie

De NTP-dienst TimeNL van SIDN Labs is een zogenaamde stratum 1 server met verschillende referentieklokken, die zelf heel precieze atoomklokken zijn. Zo synchroniseren we niet alleen aan het Amerikaanse GPS-systeem, maar ook aan het Europese Galileo GNSS. Daarmee verkleinen we de afhankelijkheid van een Amerikaans systeem, waarmee we ons onderscheiden van veel andere NTP-servers. Als eerste backup synchroniseren we daarnaast ook nog aan het Duitse DCF077 radiosignaal. En als tweede backup synchroniseren we nog met atoomklokken in Nederland (onder andere die van VSL in Delft) en België. Daarnaast is onze service uitgerust met een holdover-klok, te weten een rubidium atoomklok, waarmee we ons o.a. beschermen tegen spoofing. Onze hardware zorgt er automatisch voor dat altijd de meest nauwkeurige referentieklok wordt gekozen (voor liefhebbers: we gebruiken hardware van de firma Meinberg). Onze servers zijn, via een goede (multihomed) internetverbinding, bereikbaar via zowel IPv4 als IPv6. Op deze manier zijn we in staat om heel precieze tijdsynchronisatie aan te bieden aan veel gebruikers.

Goed om te weten is ook nog dat we geen zogenaamde 'leap smearing' doen. Wat misschien ook nog wel interessant is om te weten, is dat (sommige van) onze servers onderdeel zijn van het NTP pool project. En zo is er nog veel meer te vertellen, wat we in de toekomst zeker met enige regelmaat zullen doen. Hou dus deze site in de gaten en laat het ons vooral weten als je vragen hebt. Zie ook het onderdeel 'veelgestelde vragen', elders op deze pagina.

Arnold zakhorloge

Operationele status

Een handmatig bericht van de beheerder:
Omstreeks: di 17 dec 2024 12:30:00 UTC
ℹ️ Firmware upgrade.
Server status via een geautomatiseerd system:
Sinds: di 17 dec 2024 12:37:01 UTC
✅ OK.
ServerStatus
ntp1.time.nl OK
ntp2.time.nl OK
Een dienst van: