Ist DoH dasselbe wie ein VPN?

Nein. DoH verschlüsselt nur deine DNS-Anfragen – also die Abfragen, die Domainnamen in IP-Adressen umwandeln. Ein VPN verschlüsselt deinen gesamten Internetdatenverkehr und verbirgt deine IP-Adresse gegenüber den von dir besuchten Websites. DoH allein schützt dich nicht vor Tracking oder Überwachung auf Netzwerkebene.

Kann mein Internetanbieter sehen, was ich tue, wenn ich DoH verwende?

Dein Internetanbieter kann deine DNS-Anfragen nicht mehr im Klartext lesen, wenn DoH aktiviert ist. Er kann jedoch weiterhin die IP-Adressen sehen, mit denen du dich verbindest. Das bedeutet, er kann möglicherweise ableiten, welche Websites du besuchst – auch ohne die genauen Domainnamen zu kennen. Für vollständigen Schutz wird DoH am besten in Kombination mit einem VPN verwendet.

Wie aktiviere ich DoH in meinem Browser?

In Firefox gehst du zu Einstellungen → Datenschutz & Sicherheit → scrolle nach unten zu „DNS over HTTPS" und wähle deinen bevorzugten Resolver. In Chrome gehst du zu Einstellungen → Datenschutz und Sicherheit → Sicherheit → aktiviere „Sicheres DNS verwenden". Edge und andere Chromium-basierte Browser bieten ähnliche Optionen in ihren Datenschutzeinstellungen an.

Verlangsamt DoH meine Internetverbindung?

Der Geschwindigkeitsunterschied ist in der Regel minimal und für die meisten Nutzer kaum spürbar. Da DoH-Resolver wie die von Cloudflare oder Google häufig über eine umfangreiche Infrastruktur verfügen, können sie DNS-Anfragen in manchen Fällen sogar schneller auflösen als der Standard-DNS-Server deines Internetanbieters. Der zusätzliche Verschlüsselungsaufwand ist bei moderner Hardware vernachlässigbar.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): Was es ist und warum es wichtig ist

Jedes Mal, wenn du eine Website-Adresse in deinen Browser eingibst, sendet dein Gerät eine Anfrage: „Was ist die IP-Adresse für diese Domain?" Diese Anfrage wird als DNS-Query bezeichnet, und jahrzehntelang wurde sie im Klartext über das Internet übertragen – für jeden, der den Netzwerkverkehr beobachtete, vollständig einsehbar. DNS over HTTPS (DoH) wurde entwickelt, um genau das zu beheben.

Was es ist

DNS over HTTPS ist ein Protokoll, das deine DNS-Anfragen in verschlüsselten HTTPS-Verkehr einbettet – dieselbe Verschlüsselung, die verwendet wird, wenn du dich bei deiner Bank einloggst oder online einkaufst. Anstatt dass deine DNS-Anfragen offen übertragen werden, werden sie in sichere HTTPS-Verbindungen eingebettet und an einen DoH-kompatiblen DNS-Resolver gesendet. Für außenstehende Beobachter sieht der Datenverkehr wie gewöhnliches Web-Browsing aus.

DoH wurde 2018 von der Internet Engineering Task Force (IETF) in RFC 8484 standardisiert und ist seitdem in wichtige Browser wie Firefox, Chrome und Edge sowie in Betriebssysteme wie Windows 11 und Android integriert worden.

Wie es funktioniert

Hier ist der grundlegende Ablauf:

Du gibst `example.com` in deinen Browser ein.
Anstatt eine unverschlüsselte UDP-Anfrage an den DNS-Server deines Internetanbieters über Port 53 zu senden, schickt dein Gerät eine verschlüsselte HTTPS-Anfrage an einen DoH-Resolver (wie Cloudflares `1.1.1.1` oder Googles `8.8.8.8`) über Port 443.
Der Resolver ermittelt die IP-Adresse und sendet die Antwort zurück – weiterhin verschlüsselt über HTTPS.
Dein Browser stellt die Verbindung zur Website her.

Da die Anfrage Port 443 (den Standard-HTTPS-Port) verwendet, fügt sie sich nahtlos in den normalen Web-Datenverkehr ein. Ein passiver Beobachter in deinem Netzwerk – ob dein Internetanbieter, ein Netzwerkadministrator oder jemand, der einen manipulierten WLAN-Hotspot betreibt – kann deine DNS-Anfragen nicht ohne Weiteres vom übrigen HTTPS-Verkehr unterscheiden.

Warum es für VPN-Nutzer wichtig ist

Du fragst dich vielleicht: Wenn ich bereits ein VPN nutze, brauche ich dann DoH? Das ist eine berechtigte Frage, und die Antwort hängt von deiner Konfiguration ab.

Ohne ein VPN ist DoH eine erhebliche Verbesserung für deine Privatsphäre. Dein Internetanbieter kann nicht mehr so einfach jede Domain protokollieren, die du besuchst. Das ist besonders relevant, da Internetanbieter in vielen Ländern berechtigt – oder sogar verpflichtet – sind, Browsing-Daten zu erfassen und zu verkaufen.

Mit einem VPN sollten deine DNS-Anfragen bereits durch den VPN-Tunnel geleitet und von den eigenen DNS-Servern des VPN-Anbieters aufgelöst werden. Wenn deine VPN-Verbindung jedoch abbricht oder falsch konfiguriert ist, kann ein DNS-Leak auftreten – dein Gerät fällt darauf zurück, DNS-Anfragen außerhalb des Tunnels zu senden, wodurch deine Aktivitäten offengelegt werden. Die gemeinsame Nutzung von DoH und einem VPN (oder die Wahl eines VPNs, das DoH intern implementiert) bietet eine zusätzliche Schutzschicht gegen solche Leaks.

Es ist außerdem wichtig zu beachten, dass DoH allein kein Ersatz für ein VPN ist. DoH verschlüsselt nur die Phase der Domain-Abfrage. Deine tatsächliche IP-Adresse bleibt für die von dir besuchten Websites sichtbar, und dein Internetanbieter kann weiterhin sehen, zu welchen IP-Adressen du Verbindungen herstellst – nur nicht unbedingt, welche Domainnamen diese Verbindungen ausgelöst haben.

Praktische Beispiele und Anwendungsfälle

Öffentliches WLAN: Wenn du mit einem Café- oder Flughafennetzwerk verbunden bist, verhindert DoH, dass der Netzwerkbetreiber deine DNS-Anfragen protokolliert oder sie an einen manipulierten Server weiterleitet.
Umgehung einfacher Zensur: Einige Internetanbieter blockieren Websites, indem sie DNS-Anfragen abfangen. DoH kann DNS-Sperren umgehen, da die Anfragen verschlüsselt und an einen externen Resolver gesendet werden. (Hinweis: Entschlossene Zensoren können DoH-Resolver dennoch per IP blockieren.)
Schutz auf Browser-Ebene: Firefox und Chrome ermöglichen es dir, DoH direkt in den Einstellungen zu aktivieren, sodass du verschlüsseltes DNS erhältst, auch wenn du kein VPN nutzt.
Unternehmensumgebungen: Netzwerkadministratoren diskutieren DoH häufig kontrovers, da es interne DNS-Kontrollen umgehen kann. Viele Organisationen konfigurieren DoH so, dass es über zugelassene interne Resolver statt über öffentliche weitergeleitet wird.

DoH vs. DoT

DoH wird häufig mit DNS over TLS (DoT) verglichen, einem weiteren DNS-Verschlüsselungsprotokoll. Beide verschlüsseln DNS-Datenverkehr, aber DoT verwendet einen dedizierten Port (853), den Netzwerkadministratoren leicht identifizieren und filtern können. DoH fügt sich in den regulären HTTPS-Verkehr ein, was eine Blockierung erschwert – das ist sowohl seine Stärke für die Privatsphäre als auch ein Kritikpunkt aus Sicht der Netzwerkkontrolle.

DNS over HTTPS (DoH)Fortgeschritten