secure-os.org
ENFRESDEITPT
Alle AnleitungenQubes OSTailsWhonixGehärtetes LinuxFestplattenverschlüsselungBedrohungsmodell
dns

Sicheres DNS: So verschlüsselst du dein DNS (DoH, DoT & DNSSEC erklärt)

secure-os· Aktualisiert 16. Juni 2026· 8 Min. Lesezeit #dns#privacy#encryption#doh#network
Reihen von Netzwerkservern mit Kabeln in einem Rechenzentrum

Jedes Mal, wenn du eine Website öffnest, fragt dein Gerät zuerst einen DNS-Resolver, um den Namen (etwa example.com) in eine IP-Adresse zu übersetzen. Standardmäßig reist diese Abfrage unverschlüsselt – jeder zwischen dir und dem Resolver kann sie lesen. Sicheres DNS schließt diese Lücke, indem es die Abfrage verschlüsselt, sodass das Netzwerk die von dir besuchten Domains nicht mehr sehen, protokollieren oder manipulieren kann. Dieser Leitfaden erklärt, wie einfaches DNS leckt, was DoH, DoT und DNSSEC tatsächlich tun, wie du verschlüsseltes DNS je nach Plattform aktivierst und welche öffentlichen Resolver sich lohnen.

Die Kurzfassung

  • Einfaches DNS ist ein Datenschutzloch. Klassisches DNS läuft über Port 53 im Klartext, sodass dein ISP, öffentliches WLAN oder jeder im Netzwerk jede von dir nachgeschlagene Domain sehen kann.
  • Verschlüssele es mit DoH oder DoT. DNS over HTTPS (DoH) und DNS over TLS (DoT) verschlüsseln beide deine DNS-Abfragen. Die meisten Browser und Betriebssysteme unterstützen heute eines oder beide.
  • DNSSEC ist etwas anderes. DNSSEC authentifiziert Antworten, um Spoofing zu verhindern – aber es verschlüsselt sie nicht. Verschlüsselung (DoH/DoT) und Authentifizierung (DNSSEC) lösen unterschiedliche Probleme; idealerweise willst du beides.
  • Wähle einen vertrauenswürdigen Resolver. Cloudflare (1.1.1.1), Quad9 (9.9.9.9), Mullvad DNS, NextDNS und AdGuard DNS bieten alle verschlüsselte Endpunkte.
  • Ein VPN verschlüsselt DNS ebenfalls. Ein gutes VPN tunnelt deinen gesamten Datenverkehr, DNS inbegriffen, sodass die Abfrage auf Netzwerkebene niemals leckt.

Warum einfaches DNS ein Problem ist

Klassisches DNS wurde in den 1980er-Jahren ohne jeden Gedanken an Datenschutz entworfen. Abfragen gehen im Klartext über UDP/TCP-Port 53 hinaus, was bedeutet:

  • Dein ISP kann jede von dir aufgelöste Domain sehen und protokollieren – selbst wenn die Seite selbst HTTPS ist, wird der Name der besuchten Seite zum Zeitpunkt der Abfrage offengelegt.
  • Jeder im selben Netzwerk (öffentliches WLAN, ein Büro, ein Hotel) kann deinen DNS-Verkehr passiv beobachten und sich ein Bild davon machen, was du online tust.
  • DNS kann manipuliert werden. Ohne Authentifizierung kann ein Netzwerk eine falsche Antwort zurückgeben – und dich zu einem bösartigen oder gesperrten Server schicken (sowohl DNS-Hijacking als auch Zensur beruhen darauf).

HTTPS verschlüsselt den Inhalt der von dir geladenen Seiten, aber es verbirgt nicht, welche Seiten du anfragst. Einfaches DNS leckt schon, bevor die Verbindung überhaupt hergestellt ist. Genau diese Lücke soll sicheres DNS schließen.

In einen Switch eingesteckte Ethernet-Netzwerkkabel.
In einen Switch eingesteckte Netzwerkkabel – standardmäßig durchqueren deine DNS-Abfragen diese Hardware im Klartext, lesbar für jeden auf dem Pfad.

DoH vs. DoT: die zwei Wege, DNS zu verschlüsseln

Sowohl DNS over HTTPS als auch DNS over TLS hüllen deine DNS-Abfragen in Verschlüsselung, sodass das Netzwerk sie nicht lesen kann. Der Unterschied liegt vor allem darin, wie sie reisen:

  • DNS over TLS (DoT) führt DNS innerhalb einer TLS-verschlüsselten Verbindung über einen dedizierten Port (853) aus. Weil es seinen eigenen Port hat, kann ein Netzwerkadministrator leicht sehen, dass du verschlüsseltes DNS betreibst (auch wenn er es nicht lesen kann), und könnte den Port blockieren. Androids Einstellung „Privates DNS” verwendet DoT.
  • DNS over HTTPS (DoH) sendet DNS-Abfragen über eine normale HTTPS-Verbindung (Port 443), denselben Port, der für den gesamten Web-Verkehr genutzt wird. Das macht DoH schwerer auszusortieren und zu blockieren, weil es sich in normales Surfen einfügt. Die meisten Browser implementieren DoH.

Keines ist universell „besser”. DoT ist sauberer in einem Netzwerk zu verwalten; DoH ist schwerer zu zensieren. Für eine Einzelperson, die einfach nur ihre Abfragen vor dem ISP und dem lokalen Netzwerk verbergen möchte, ist jedes von beiden eine große Verbesserung gegenüber einfachem Port-53-DNS.

DNSSEC: Authentifizierung, nicht Verschlüsselung

DNSSEC (DNS Security Extensions) wird häufig mit DoH/DoT verwechselt, tut aber etwas völlig anderes. DNSSEC fügt DNS-Einträgen kryptografische Signaturen hinzu, sodass dein Resolver überprüfen kann, dass eine Antwort tatsächlich von der autoritativen Quelle stammt und unterwegs nicht gefälscht oder verändert wurde. Es schützt gegen DNS-Spoofing und Cache-Poisoning.

Die ehrliche Unterscheidung:

  • DNSSEC = Authentifizierung. Es beweist, dass die Antwort echt ist. Es verbirgt deine Abfragen nicht – DNSSEC-Verkehr ist für das Netzwerk weiterhin lesbar.
  • DoH/DoT = Verschlüsselung. Sie verbergen deine Abfragen vor dem Netzwerk. Sie beweisen für sich genommen nicht, dass die Antwort authentisch ist.

Sie ergänzen einander. Ein validierender Resolver, erreicht über DoH oder DoT, gibt dir beides: Abfragen, die das Netzwerk nicht lesen kann, und Antworten, die es nicht fälschen kann.

So aktivierst du sicheres DNS, nach Plattform

Du kannst verschlüsseltes DNS an drei Stellen aktivieren: in deinem Browser, in deinem Betriebssystem oder in deinem Router. Auf OS- oder Router-Ebene gesetzt deckt es mehr Apps ab als der Browser allein.

Browser

  • Firefox: Einstellungen → Datenschutz & SicherheitDNS über HTTPS. Wähle eine Schutzstufe und einen Anbieter (Cloudflare und NextDNS sind integrierte Optionen).
  • Chrome / Edge: Einstellungen → Datenschutz und SicherheitSicherheitSicheres DNS verwenden. Du kannst deinen aktuellen Anbieter behalten oder einen aus der Liste wählen.

Browser-DoH schützt DNS nur für diesen Browser – andere Apps auf dem Gerät verwenden weiterhin den System-Resolver.

Windows 11

Windows 11 unterstützt DoH nativ: Einstellungen → Netzwerk & Internet → deine Verbindung → DNS-Serverzuweisung → Bearbeiten, setze DNS auf Manuell, gib die IP deines Resolvers ein und stelle DNS über HTTPS auf Ein (automatische Vorlage) für einen unterstützten Anbieter.

Android

Android hat ein eingebautes Privates DNS, das DoT verwendet: Einstellungen → Netzwerk & Internet → Privates DNS → Hostname des privaten DNS-Anbieters, dann gib den Hostnamen des Anbieters ein (zum Beispiel dns.quad9.net oder deinen NextDNS-/AdGuard-Hostnamen). Dies gilt systemweit.

iOS und macOS

Apple stellt verschlüsseltes DNS nicht in der Standard-Einstellungs-Oberfläche bereit, unterstützt es aber über Konfigurationsprofile (eine .mobileconfig-Datei) mit DoH oder DoT. Anbieter wie NextDNS, Quad9 und AdGuard verteilen fertige Profile, die du einmal installierst; die Einstellung gilt dann systemweit.

Router

Verschlüsseltes DNS auf deinem Router zu setzen deckt jedes Gerät im Netzwerk ab, auch solche, die sich nicht einzeln konfigurieren lassen (Smart-TVs, IoT-Geräte). Die Unterstützung variiert je nach Router-Firmware – viele moderne Router und Firmwares wie OpenWrt können DNS über DoT/DoH an einen vorgelagerten Resolver weiterleiten.

Empfohlene öffentliche Resolver

Dies sind bekannte öffentliche Resolver, die verschlüsselte (DoH/DoT) Endpunkte anbieten. Wähle nach dem, was dir wichtig ist – Geschwindigkeit, Malware-Filterung oder Anpassbarkeit. Mach es dir nicht zu kompliziert: jeder von ihnen schlägt das standardmäßige Klartext-DNS deines ISPs.

  • Cloudflare (1.1.1.1 / 1.0.0.1) – ein weit verbreiteter Resolver, bekannt für Schnelligkeit, mit einer datenschutzorientierten Haltung. Eine 1.1.1.1-App sowie DoH-/DoT-Endpunkte sind verfügbar.
  • Quad9 (9.9.9.9) – ein Schweizer gemeinnütziger Resolver, der bekannte bösartige Domains blockiert anhand von Threat-Intelligence-Feeds. Eine solide Voreinstellung, wenn du integrierte Sicherheitsfilterung willst.
  • Mullvad DNS – öffentliches verschlüsseltes DNS, betrieben vom datenschutzorientierten VPN-Anbieter Mullvad, mit optionalen Werbe-/Tracker-/Malware-blockierenden Varianten. Für den öffentlichen Resolver ist kein Konto erforderlich.
  • NextDNS – ein hochgradig anpassbarer Resolver: Du erstellst eine Konfiguration und wählst deine eigenen Sperrlisten, Protokollierung und Regeln. Hat eine kostenlose Stufe mit einem monatlichen Abfragekontingent.
  • AdGuard DNS – bietet Resolver, die Werbung und Tracker auf DNS-Ebene blockieren, mit verschlüsselten Endpunkten, neben einer nicht filternden Option.

Ein Hinweis zur Ehrlichkeit: Die DNS-Geschwindigkeit in der Praxis hängt stark von deinem Standort und Netzwerk ab, also begegne jeder einzelnen Behauptung „schnellster Resolver” mit Skepsis – die richtige Wahl ist die, deren Vertrauensmodell und Filterung zu deinen Bedürfnissen passen.

Wo ein VPN ins Bild passt

Verschlüsseltes DNS verbirgt deine Abfragen, aber ein VPN geht weiter: Es verschlüsselt deinen gesamten Datenverkehr – DNS inbegriffen – innerhalb eines einzigen Tunnels zum VPN-Server, sodass dein ISP und dein lokales Netzwerk weder die von dir aufgelösten Domains noch das, was du danach tust, sehen können. Ein gut gebautes VPN leitet DNS außerdem über seine eigenen Resolver innerhalb des Tunnels, was DNS-Lecks verhindert (der Fehlerfall, in dem dein Gerät stillschweigend auf das Klartext-DNS des ISPs zurückfällt).

Häufig gestellte Fragen

Was ist sicheres DNS? Sicheres DNS bedeutet, deine DNS-Abfragen zu verschlüsseln (üblicherweise mit DoH oder DoT), sodass das Netzwerk zwischen dir und dem Resolver die von dir besuchten Domains nicht lesen, protokollieren oder manipulieren kann. Einfaches DNS sendet diese Abfragen im Klartext über Port 53.

Ist DoH oder DoT besser? Sie verschlüsseln DNS gleich gut; der Unterschied ist der Kanal. DoH verwendet Port 443 (den normalen HTTPS-Port), was es für ein Netzwerk schwerer macht, es auszusortieren und zu blockieren. DoT verwendet einen dedizierten Port (853), der einfacher zu verwalten, aber auch leichter zu erkennen und zu blockieren ist. Für Datenschutz gegenüber deinem ISP ist beides eine große Verbesserung.

Verschlüsselt DNSSEC mein DNS? Nein. DNSSEC authentifiziert DNS-Antworten, um Spoofing zu verhindern, aber es verschlüsselt sie nicht – das Netzwerk kann deine Abfragen weiterhin sehen. Für Datenschutz brauchst du DoH oder DoT; für Authentizität brauchst du DNSSEC. Sie ergänzen einander.

Reicht das Ändern meines DNS-Resolvers für Datenschutz aus? Es ist eine echte Verbesserung – deine Abfragen werden verschlüsselt und dein ISP kann sie nicht protokollieren –, aber es deckt nur DNS ab. Der Rest deines Datenverkehrs (und mit welchen IPs du dich verbindest) ist auf Netzwerkebene weiterhin sichtbar. Ein VPN verschlüsselt alles, DNS inbegriffen, in einem Tunnel.

Welchen sicheren DNS-Resolver sollte ich verwenden? Quad9, wenn du Malware-Blockierung von einer gemeinnützigen Organisation willst, Cloudflare für einen schnellen Allzweck-Resolver, NextDNS oder AdGuard, wenn du die Filterung anpassen willst, oder Mullvad DNS für einen datenschutzorientierten öffentlichen Resolver. Alle bieten verschlüsselte Endpunkte.

Das Fazit

Einfaches DNS verrät stillschweigend jede von dir besuchte Seite an deinen ISP und jeden in deinem Netzwerk. Sicheres DNS – verschlüsselt mit DoH oder DoT, idealerweise über einen DNSSEC-validierenden Resolver – schließt dieses Leck, und du kannst es in deinem Browser, OS oder Router in Minuten aktivieren. Wähle einen Resolver, dessen Vertrauensmodell zu dir passt (Cloudflare, Quad9, Mullvad, NextDNS oder AdGuard), und wenn du das Leck für deinen gesamten Datenverkehr auf einmal schließen willst, leite ihn durch ein No-Logs-VPN.