WireGuard vs OpenVPN in 2026: cryptografische primitieven, codebase-omvang, en wanneer elk de juiste standaard is
WireGuard is nieuwer, kleiner en gebruikt moderne primitieven. OpenVPN is ouder, groter en draait over TCP 443 om restrictieve netwerken te doorkruisen. Beide zijn open standaarden. Hier is het eerlijke kader voor de protocolkeuze.
Wat WireGuard en OpenVPN zijn, kort gezegd
WireGuard is een VPN-protocol ontworpen door Jason A. Donenfeld en in 2020 opgenomen in de Linux-kernel. De whitepaper op wireguard.com/papers/wireguard.pdf specificeert de cryptografische primitieven: Curve25519 voor sleuteluitwisseling, ChaCha20 voor symmetrische versleuteling, Poly1305 voor authenticatie, BLAKE2s voor hashing, HKDF voor sleutelafleiding, SipHash24 voor de hashtabel-sleutel. De Linux-kernelimplementatie omvat ongeveer 4.000 regels code. OpenVPN is ouder (voor het eerst uitgebracht in 2001), GPL-gelicentieerd, draait in user space (niet in de kernel) en gebruikt OpenSSL of mbedTLS voor cryptografie. De OpenVPN 2.6-referentiehandleiding is gepubliceerd op openvpn.net.
Codebase-omvang en auditoppervlak
WireGuards kleine codebase (~4.000 regels in de Linux-kernelimplementatie) is een bewuste ontwerpkeuze — hoe kleiner de codebase, hoe kleiner het auditoppervlak en hoe minder plekken waar bugs zich kunnen verschuilen. OpenVPN's codebase is groter (het volledige project, inclusief de openvpn-binary, plug-ins en ondersteunende bibliotheken, beslaat veel meer) — de afweging is meer dan twee decennia CVE-historie, wat betekent dat elk gangbaar randgeval is gevonden, gepatcht en nu deel uitmaakt van de testsuite. Geen van beide is ondubbelzinnig veiliger; de kleinere codebase is door minder ogen en gedurende kortere tijd beoordeeld.
Transport: UDP vs TCP
WireGuard gebruikt alleen UDP. OpenVPN ondersteunt zowel UDP als TCP. De implicatie: netwerken die UDP blokkeren — bedrijfs-Wi-Fi met restrictieve uitgaande regels, sommige hotelnetwerken, netwerken met deep packet inspection die niet-HTTPS-UDP markeren — zullen WireGuard blokkeren. De TCP-modus van OpenVPN draait op TCP-poort 443, dezelfde poort die HTTPS gebruikt, en is daardoor moeilijker te blokkeren zonder het gewone webverkeer te breken. Als je regelmatig verbinding maakt vanuit netwerken met restrictief uitgaand verkeer, is OpenVPN-TCP de betrouwbaardere keuze, ook al is hij trager. De meeste grote VPN-clients laten je van protocol wisselen zonder van account te veranderen.
Prestatieverschillen komen uit de kernel space
WireGuards grootste prestatievoordeel op Linux is dat het in de kernel space draait — pakketten hoeven niet bij elke versleutelings- of ontsleutelingsbewerking de grens tussen user en kernel over te steken. OpenVPN draait in user space, wat van oudsher een betekenisvolle overhead vormde. OpenVPN 2.6 met Data Channel Offload (DCO) verplaatst het symmetrische cipherwerk naar de kernel en dicht een groot deel van het gat. We publiceren geen ruwe doorvoercijfers, omdat die sterk variëren naargelang netwerkcondities, serverbelasting en tijdstip van de dag; de gepubliceerde WireGuard-whitepaper documenteert het protocolontwerp en benchmarkt het prototype, maar de werkelijke doorvoer van een consumenten-VPN hangt evenzeer af van de infrastructuur van de aanbieder als van het protocol.
Welke geauditeerde VPN's welk protocol implementeren
Alle vijf grote geauditeerde betaalde VPN's ondersteunen zowel WireGuard als OpenVPN: Mullvad biedt een eigen WireGuard-implementatie naast OpenVPN (Cure53 auditeerde beide serverconfiguraties in juni 2024). Proton VPN ondersteunt WireGuard, OpenVPN en een Stealth-protocol (een OpenVPN-over-TLS-variant voor restrictieve netwerken). NordVPN's NordLynx is een aangepaste WireGuard-implementatie. ExpressVPN's Lightway is een eigen protocol met een eigen audithistorie (Cure53 + Praetorian beoordeelden in 2024 de Rust-herschrijving van Lightway). Surfshark ondersteunt WireGuard en OpenVPN.
Aanbeveling
Kies standaard voor WireGuard of het van WireGuard afgeleide eigen protocol van de aanbieder (NordLynx, ExpressVPN's Lightway). Schakel over naar OpenVPN-TCP wanneer het netwerk UDP blokkeert — bedrijfs-Wi-Fi, universiteits-Wi-Fi met restrictief uitgaand verkeer, hotelnetwerken met DPI. De protocolkeuze is zelden het knelpunt voor de prestaties van een consumenten-VPN; de serverselectie en de huidige belasting van de aanbieder tellen zwaarder. Voor privacy specifiek maakt het protocol niet uit — de no-logs-eigenschap staat los van het protocol en is precies wat audits bestaan om te verifiëren.
Bronnen
WireGuard-whitepaper: wireguard.com/papers/wireguard.pdf. OpenVPN 2.6-referentiehandleiding: openvpn.net/community-resources/reference-manual-for-openvpn-2-6. Mullvad-infrastructuuraudit (Cure53 juni 2024, dekte zowel de OpenVPN- als de WireGuard-serverconfiguraties): mullvad.net/en/blog/fourth-infrastructure-audit-completed-by-cure53. ExpressVPN Lightway-audits: expressvpn.com/blog/lightway-audits-cure53-praetorian. Alle URL's geraadpleegd op 2026-04-30.