Verschlüsseltes DNS erklärt: Was DoH und DoT wirklich verbergen — und warum das DNS Ihres VPNs wichtig ist

Verschlüsseltes DNS erklärt: Was DoH und DoT wirklich verbergen — und warum das DNS Ihres VPNs wichtig ist
Jedes Mal, wenn Sie eine Website besuchen, führt Ihr Gerät eine stille Abfrage durch, über die die meisten Menschen nie nachdenken: es fragt „Was ist die IP-Adresse für diesen Domainnamen?“ Das ist DNS — das Telefonbuch des Internets — und für den Großteil der Webgeschichte reisten diese Frage und ihre Antwort im Klartext, lesbar für jeden zwischen Ihnen und Ihrem DNS-Server. Verschlüsseltes DNS behebt das. Diese Anleitung erklärt, wie es funktioniert, was es genau schützt, was es offen lässt und wie es zu dem VPN zusammenhängt, das Sie möglicherweise bereits nutzen.
Warum Klartext-DNS ein Datenschutzproblem ist
Wenn Sie sich über HTTPS mit einer Website verbinden, ist der Inhalt Ihrer Sitzung verschlüsselt. Aber die DNS-Abfrage, die zuerst stattfindet, ist das normalerweise nicht. Ihr Internetanbieter — oder jemand im selben Netzwerk — kann diese Abfragen beobachten und eine vollständige Liste der Domains erstellen, die Sie besuchen, auch wenn er die Seiten selbst nicht lesen kann.
Klartext-DNS ermöglicht zwei unterschiedliche Schäden. Der erste ist Überwachung: Ihr ISP kann Ihre Surfchronik protokollieren und sogar monetarisieren, basierend auf den Domains, die Sie auflösen. Der zweite ist Manipulation: Da die Abfrage nicht authentifiziert ist, kann ein Netzwerk Lookups umleiten oder blockieren — der Mechanismus hinter vielen DNS-basierten Zensurmaßnahmen und den gefälschten Anmeldeseiten in feindlichen WLANs. Verschlüsseltes DNS begegnet beidem, indem es die Abfrage in Verschlüsselung und Integritätsschutz einhüllt.
DoH vs DoT: zwei Wege, die Abfrage zu verschlüsseln
Es gibt zwei gängige Standards, und der Unterschied zwischen ihnen betrifft vor allem welchen Port sie verwenden und damit, wie gut sie im Netzwerk sichtbar sind.
DNS over HTTPS (DoH) sendet Ihre DNS-Abfragen innerhalb normalen HTTPS-Traffics über Port 443, standardisiert in RFC 8484. Da es wie jede andere Webanfrage aussieht, kann ein Netzwerk es schwer isolieren und blockieren — genau deshalb haben Browser es übernommen. Es ist die Option, die Sie in Firefox, Chrome oder Edge am häufigsten aktivieren.
DNS over TLS (DoT) hüllt dieselben Abfragen in TLS, aber über einen dedizierten Port 853. Das macht es im Netzwerk übersichtlicher zu verwalten — Administratoren können DoT-Traffic getrennt sehen und steuern — aber auch einfacher für ein restriktives Netzwerk, ihn komplett zu blockieren. DoT ist auf Betriebssystem- und Routerebene verbreitet (zum Beispiel Androids Private DNS).
Beide bieten denselben Kernschutz: Die Abfragen werden während der Übertragung verschlüsselt und authentifiziert, damit sie nicht stillschweigend verändert werden können. DoH priorisiert das Untertauchen; DoT priorisiert saubere Netzwerkverwaltung. Für eine Einzelperson, die Datenschutz sucht, ist DoH normalerweise die widerstandsfähigere Wahl.
Was verschlüsseltes DNS wirklich verbirgt — und was nicht
Hier ist Ehrlichkeit wichtig, denn verschlüsseltes DNS wird oft überverkauft. Es löst ein spezifisches Problem gut und lässt andere unberührt.
Was es verbirgt:
Den Inhalt Ihrer DNS-Abfragen vor Ihrem ISP und allen anderen in Ihrem lokalen Netzwerk — sie können nicht mehr lesen, welche Domains Sie auflösen.
Die Integrität der Antwort — ein Netzwerk kann Ihre Abfrage nicht stillschweigend zu einem bösartigen oder zensierten Ziel umleiten.
Was es NICHT verbirgt:
Die Ziel-IP-Adresse. Nach dem Lookup verbindet sich Ihr Gerät immer noch mit dieser IP, und Ihr ISP sieht die Verbindung. Allein anhand einer bekannten IP können sie oft auf die Website schließen.
Den Servernamen im TLS-Handshake (SNI). Wenn nicht Encrypted Client Hello verwendet wird, ist die Domain, mit der Sie sich verbinden, immer noch im ersten Paket der HTTPS-Verbindung selbst sichtbar — getrennt von DNS.
Ihre Abfragen vor dem Resolver. Verschlüsseltes DNS verschiebt Ihr Vertrauen, es entfernt es nicht. Wer auch immer den Resolver betreibt — Cloudflares 1.1.1.1, Googles 8.8.8.8, Quad9 oder Ihr ISP — sieht jetzt jede Abfrage. Wählen Sie einen mit einer echten Datenschutzrichtlinie.
Metadaten allgemein. Zeitpunkt, Volumen und Verbindungsmuster lassen auch bei verschlüsselten Abfragen noch Informationen durchsickern.
Verschlüsseltes DNS verbirgt Ihrem Netzwerk, welche Websites Sie abfragen — aber die darauf folgende Verbindung verrät dennoch viel, und der Resolver, den Sie wählen, sieht alles. Es ist eine Grundlage, kein Mantel.
Verschlüsseltes DNS vs ein VPN: Sie lösen unterschiedliche Schichten
Menschen fragen oft, ob verschlüsseltes DNS ein VPN ersetzt. Das tut es nicht — sie arbeiten in unterschiedlichen Bereichen, und das zu verstehen verhindert einen häufigen Fehler.
Verschlüsseltes DNS schützt nur Ihre DNS-Abfragen. Ein VPN verschlüsselt und tunneliert Ihren gesamten Traffic — die Abfragen und die folgenden Verbindungen — zum VPN-Server, sodass Ihr ISP nur einen verschlüsselten Tunnel zu Ihrem Anbieter sieht und nichts über die Ziele darin. Ein richtig konfiguriertes VPN übernimmt auch DNS für Sie und leitet diese Abfragen durch den Tunnel zum eigenen Resolver des Anbieters.
Genau hier läuft es oft schief. Wenn Ihr Browser oder Betriebssystem so konfiguriert ist, während ein VPN aktiv ist, DoH an einen anderen Anbieter zu senden, kann Ihr DNS aus dem Tunnel herausrutschen — ein klassisches DNS-Leck, das Ihre Abfragen einem unbeabsichtigten Resolver preisgibt und das VPN untergräbt. Die Lösung ist, dem VPN die DNS-Verwaltung zu überlassen oder verschlüsseltes DNS auf den eigenen Resolver des VPN zu zeigen und dann zu überprüfen.
Wie man es überprüft und einrichtet
Testen Sie zuerst auf Lecks. Führen Sie einen DNS-Leak-Test durch — einschließlich der verschlüsselten DNS- und Leak-Tools auf dieser Website — um genau zu sehen, welcher Resolver für Sie antwortet und ob es der erwartete ist. Wenn Sie ein VPN nutzen und den Resolver Ihres ISPs sehen, haben Sie ein Leck.
Schalten Sie verschlüsseltes DNS bewusst ein. Aktivieren Sie in Firefox, Chrome oder Edge Sicheres DNS / DNS over HTTPS und wählen Sie einen seriösen Resolver. Auf Android verwenden Sie Private DNS (DoT); auf modernen Windows- und Apple-Systemen ist verschlüsseltes DNS auf Betriebssystemebene verfügbar.
Wenn Sie ein VPN nutzen, lassen Sie es DNS besitzen. Bevorzugen Sie das integrierte DNS des VPN, damit Abfragen im Tunnel bleiben, und deaktivieren Sie eine widersprüchliche Browser-DoH-Einstellung, die sie anderswohin leiten würde.
Wählen Sie Ihren Resolver, als wäre es wichtig — denn das ist es. Cloudflare, Google und Quad9 veröffentlichen Datenschutzrichtlinien und bieten Filtervarianten; der Resolver Ihres ISPs bietet in der Regel am wenigsten Datenschutz. Der Resolver sieht Ihre Abfragen, daher ist Vertrauen die gesamte Entscheidung.
Das Fazit
Verschlüsseltes DNS ist eines der günstigsten verfügbaren Datenschutz-Upgrades: Es stoppt Ihren ISP und das lokale Netzwerk daran, Ihre Abfragen zu lesen und zu manipulieren, und jeder moderne Browser und jedes Betriebssystem unterstützt es. Aber es ist nur eine einzelne Schicht. Es verbirgt nicht die folgenden Verbindungen und verschiebt Ihr Vertrauen auf den Resolver, den Sie wählen. Kombinieren Sie es mit einem gut konfigurierten VPN — eines, das Ihr DNS übernimmt, damit nichts durchsickert — und Sie schließen die Lücke, die jedes Tool für sich offenlässt. Wie immer: Gehen Sie nicht davon aus, dass es funktioniert; testen Sie es und bestätigen Sie es.
Häufig gestellte Fragen
Was ist der Unterschied zwischen DoH und DoT?
Beide verschlüsseln Ihre DNS-Abfragen, aber DNS over HTTPS (DoH) sendet sie innerhalb normalen HTTPS-Traffics über Port 443, was es unauffällig macht und schwer zu blockieren, während DNS over TLS (DoT) einen dedizierten Port 853 verwendet, der für Netzwerke sauberer zu verwalten, aber leichter zu blockieren ist. Browser verwenden normalerweise DoH; Betriebssysteme und Router verwenden oft DoT, wie zum Beispiel Androids Private DNS.
Verbirgt verschlüsseltes DNS mein Surfen vor meinem ISP?
Teilweise. Es verbirgt den Inhalt Ihrer DNS-Abfragen, sodass Ihr ISP nicht lesen kann, welche Domains Sie auflösen, und verhindert Manipulation. Aber es verbirgt nicht die Ziel-IP-Adresse, mit der Sie sich danach verbinden, noch den Servernamen im TLS-Handshake, es sei denn, Encrypted Client Hello wird verwendet. Für einen stärkeren Schutz, den Ihr ISP nicht sehen kann, benötigen Sie ein VPN, das den gesamten Traffic tunneliert.
Brauche ich immer noch ein VPN, wenn ich verschlüsseltes DNS nutze?
Sie lösen unterschiedliche Schichten. Verschlüsseltes DNS schützt nur Ihre DNS-Abfragen; ein VPN verschlüsselt und tunneliert Ihren gesamten Traffic, einschließlich der Abfragen und der folgenden Verbindungen, und verbirgt Ihre IP-Adresse. Verschlüsseltes DNS ist eine nützliche Grundlage, aber es ist kein Ersatz für ein VPN, wenn Sie möchten, dass Ihr ISP und das lokale Netzwerk nichts über Ihre Ziele sehen.
Was ist ein DNS-Leck?
Ein DNS-Leck passiert, wenn Ihre DNS-Abfragen außerhalb Ihres VPN-Tunnels unterwegs sind — zum Beispiel, wenn Ihr Browser oder Betriebssystem so eingestellt ist, während das VPN aktiv ist, DNS over HTTPS an einen anderen Anbieter zu senden. Das Ergebnis ist, dass ein unbeabsichtigter Resolver Ihre Abfragen sieht und das VPN untergräbt. Sie können es mit einem DNS-Leak-Test erkennen und beheben, indem Sie dem VPN die DNS-Verwaltung überlassen.
Wer kann meine DNS-Abfragen sehen, wenn ich verschlüsseltes DNS nutze?
Der Resolver, den Sie wählen — wie Cloudflares 1.1.1.1, Googles 8.8.8.8, Quad9 oder Ihr ISP — sieht immer noch jede Abfrage. Verschlüsseltes DNS verschiebt Ihr Vertrauen auf diesen Resolver, anstatt es zu entfernen, daher ist es wichtig, einen mit einer klaren, datenschutzfreundlichen Richtlinie zu wählen. Ihr lokales Netzwerk und Ihr ISP können die verschlüsselten Abfragen während der Übertragung jedoch nicht mehr lesen.



