Was ist DNS over HTTPS?
DNS over HTTPS (DoH) ist ein Protokoll, das DNS-Abfragen verschlüsselt, indem es sie in Standard-HTTPS-Verbindungen einbettet statt als unverschlüsselten Klartext zu übertragen. Jedes Mal, wenn eine Website-Adresse eingegeben wird, fragt das Gerät einen DNS-Server, diese Domain in eine IP-Adresse aufzulösen. Traditionell reist diese Anfrage unverschlüsselt durchs Netz — der Internetanbieter, der Netzwerkadministrator oder jeder im selben WLAN-Netzwerk kann genau sehen, welche Websites aufgerufen werden. DoH verpackt diese Abfragen in dieselbe HTTPS-Verschlüsselung, die Online-Banking und Shopping schützt, und macht das Surfverhalten für Dritte unsichtbar.
Im Detail
Das Datenschutzproblem bei klassischem DNS
Standard-DNS nutzt UDP-Port 53 ohne Verschlüsselung. Beim Aufruf von „beispiel.de" schickt der Computer eine Klartextanfrage an einen DNS-Resolver — sinngemäß: „Wie lautet die IP-Adresse von beispiel.de?" Wer das Netzwerk überwacht — ein Lauscher im Café, eine Unternehmens-Firewall oder der Internetanbieter — kann jede aufgelöste Domain protokollieren. Diese Metadaten verraten das Surfverhalten, selbst wenn die Websites selbst HTTPS nutzen. Ein VPN verschlüsselt den gesamten Datenverkehr einschließlich DNS, aber DoH bietet eine leichtgewichtigere, DNS-spezifische Lösung ohne den Overhead eines vollständigen VPN-Tunnels.
DoH vs. DoT (DNS over TLS)
DoH ist nicht das einzige DNS-Verschlüsselungsprotokoll. DNS over TLS (DoT) erreicht dasselbe Ziel, nutzt aber einen eigenen Port (853) mit TLS-Verschlüsselung. Der praktische Unterschied:
- DoH (Port 443): Nutzt denselben Port wie der gesamte HTTPS-Webverkehr und ist damit von normalem Surfen nicht zu unterscheiden. Für Netzwerkadministratoren nur zu sperren, wenn auch der Webzugang unterbrochen wird.
- DoT (Port 853): Nutzt einen eigenen, erkennbaren Port, den Firewalls leichter erkennen und blockieren können.
Alle großen Browser — Chrome, Firefox, Edge, Brave und Safari — haben DoH als bevorzugtes DNS-Verschlüsselungsverfahren übernommen, weil es schwerer zu sperren ist und sich nahtlos in den bestehenden Web-Stack integriert.
Auswirkungen auf die Latenz
Eine verbreitete Sorge ist, ob DNS-Verschlüsselung Latenz hinzufügt. In der Praxis ist der Overhead minimal. Der initiale HTTPS-Handshake dauert Sekundenbruchteile, und nachfolgende Abfragen nutzen die Verbindung wieder (HTTP/2-Multiplexing), was sie ebenso schnell oder schneller macht als klassisches DNS über UDP. Messungen von Cloudflare und Google zeigen, dass DoH-Latenz mit herkömmlichem DNS in den meisten Netzwerken vergleichbar ist. In manchen Fällen beschleunigt der Wechsel zu einem leistungsfähigen DoH-Anbieter wie Cloudflare (1.1.1.1) die DNS-Auflösung sogar im Vergleich zu einem langsamen Anbieter-Resolver.
DoH aktivieren
Die Aktivierung ist unkompliziert:
- Im Browser: Einstellungen öffnen, zu Datenschutz oder Sicherheit navigieren, „Sicheres DNS verwenden" oder „DNS over HTTPS" aufrufen und einen Anbieter auswählen (Cloudflare, Google, Quad9 usw.).
- Auf Betriebssystemebene: Windows 11, macOS, iOS und Android unterstützen systemweites DoH. In den Netzwerk- oder DNS-Einstellungen eine DoH-kompatible Serveradresse eingeben und die Verschlüsselungsoption aktivieren.
- Am Router: Einige Router unterstützen DoH oder DoT, was DNS für alle Netzwerkgeräte ohne gerätespezifische Konfiguration verschlüsselt.
Einschränkungen
DoH ist kein Allheilmittel für die Privatsphäre. Die DNS-Abfrage wird verschlüsselt, aber die IP-Adresse, zu der anschließend verbunden wird, bleibt für den Internetanbieter und Netzwerkbetreiber sichtbar (sofern kein VPN verwendet wird). Zudem kann die Server Name Indication (SNI) im TLS-Handshake den Hostnamen verraten; Encrypted Client Hello (ECH) ist ein neuer Standard, der dieses Problem adressiert. Einige Unternehmensnetzwerke und Kindersicherungssysteme stützen sich auf die Inspektion von DNS-Abfragen zur Durchsetzung von Richtlinien. DoH auf einem Firmennetzwerk zu aktivieren kann Sicherheitsmaßnahmen umgehen — vor der Aktivierung auf einem Arbeitsgerät mit der IT-Abteilung abstimmen.
Kaufberatung
1. Im Browser anfangen
Der schnellste Weg zu DoH-Schutz: In den Browser-Einstellungen aktivieren. Das dauert etwa 30 Sekunden, erfordert keine Software-Installation und verschlüsselt sofort alle DNS-Abfragen dieses Browsers.
2. Vertrauenswürdigen DNS-Anbieter wählen
Bei der Nutzung von DoH vertraut man dem DNS-Anbieter die Abfragedaten an. Die Wahl sollte gut überlegt sein:
- Cloudflare (1.1.1.1): Verpflichtet sich, Daten nicht zu verkaufen und Abfrageprotokolle innerhalb von 24 Stunden zu löschen. Unabhängig geprüft.
- Google Public DNS (8.8.8.8): Extrem schnell und zuverlässig; Protokolle werden anonymisiert, aber für begrenzte Analysen aufbewahrt.
- Quad9 (9.9.9.9): Sicherheitsorientiert; blockiert automatisch bekannte Schaddomains.
Die Datenschutzrichtlinien der Anbieter lesen und denjenigen wählen, dessen Praktiken dem eigenen Komfortniveau entsprechen.
3. Mit einem VPN für vollständigen Schutz kombinieren
DoH verschlüsselt nur DNS-Abfragen — IP-Adresse und übriger Datenverkehr bleiben unverschlüsselt. Für umfassenden Schutz im öffentlichen WLAN oder in restriktiven Netzwerkumgebungen DoH mit einem VPN kombinieren. Zusammen decken sie sowohl die Frage „Welche Website wird besucht?" (DoH) als auch „Was wird dort getan?" (VPN) ab.
DoH-Verbreitung und Branchenimpuls
DoH hat sich seit seiner Einführung rasch durchgesetzt. Firefox war der erste große Browser, der DoH standardmäßig aktivierte (in den USA), gefolgt von Chrome, Edge und Brave. Apple ergänzte systemweite DoH-Unterstützung in iOS 14 und macOS Big Sur. Windows 11 unterstützt DoH nativ in den Netzwerkeinstellungen. Diese breite Unterstützung bedeutet, dass die Aktivierung von DoH keine fortgeschrittene technische Aufgabe mehr ist — es ist eine Standardfunktion auf allen großen Plattformen.
Fazit
DNS over HTTPS ist eines der einfachsten und wirksamsten Datenschutz-Upgrades. Indem es die DNS-Abfragen verschlüsselt, die verraten, welche Websites besucht werden, schließt DoH eine seit Langem bestehende Lücke in der Internet-Privatsphäre — und lässt sich in weniger als einer Minute aktivieren. Einen seriösen DNS-Anbieter wählen, DoH im Browser oder Betriebssystem einschalten und für umfassenden Schutz zusätzlich ein VPN nutzen. Eine kleine Änderung mit echtem Mehrwert.