Zurück zum Blog
Unter der Haube·12 Min. Lesezeit

DNS-over-HTTPS in 2026 — wann es hilft und wann es schadet

DoH verschlüsselt die Abfrage, die „casperscloak.com“ in „203.0.113.42“ übersetzt. Diese eine Änderung schließt drei echte Angriffsflächen und bricht zwei legitime Anwendungsfälle — und sie verlagert Vertrauen, anstatt es zu eliminieren. Die ehrliche Karte dessen, was DoH tatsächlich tut, was es nicht tut, und die Kompromisse, die Anbieter nicht in den Marketingtext schreiben.

Von Casper's Cloak Security Team

Die Kurzversion: Klassisches DNS sendet deine Anfragen — jedes „Was ist die IP für example.com?“ — als Klartext-UDP, das jeder auf dem Netzwerkpfad lesen oder manipulieren kann. DoH hüllt diese Anfragen in HTTPS ein, sodass der Netzwerkbeobachter keine Domainnamen mehr sieht und keine falschen Antworten einschleusen kann. Das löst drei legitime Probleme (ISP-DNS-Spionage, DNS-Manipulation im Café, bestimmte Formen staatlicher DNS-Zensur) und schafft zwei neue (Kindersicherungen und Unternehmenssicherheit funktionieren nicht mehr, und du hast deinem gewählten DoH-Anbieter gerade mitgeteilt, welche Domains du besuchst). DoH ist weder „privater“ noch „weniger privat“ — es ist anders privat, und die Frage ist, welcher Kompromiss zu deinem Bedrohungsmodell passt.

Was DoH wirklich ist (und was es ersetzt)

Klassisches DNS ist eines der ältesten Protokolle, die noch in Produktion sind. Es stammt aus dem Jahr 1983, existiert vor dem allgegenwärtigen HTTPS und wurde entwickelt, als „alle im Netzwerk sind grob vertrauenswürdig“ eine vernünftige Annahme war. Die Mechanik: Dein Gerät sendet ein UDP-Paket an Port 53 deines konfigurierten DNS-Resolvers (normalerweise der deines ISPs, oder 8.8.8.8 / 1.1.1.1, wenn du ihn geändert hast). Der Paketkörper sagt im Klartext: „Gib mir den A-Record für example.com.“ Der Resolver antwortet im Klartext mit der IP. Drei Eigenschaften sind es wert, beachtet zu werden:

  • Jeder auf dem Netzwerkpfad kann die Anfrage lesen. Dein ISP, das Café-WLAN, jeder, der auf dem lokalen Netzwerk tcpdump ausführt — jeder Domainname, den du auflöst, ist im Klartext.
  • Jeder auf dem Netzwerkpfad kann eine Antwort fälschen. Wenn eine gefälschte Antwort vor der des legitimen Resolvers bei deinem Gerät ankommt, wirst du umgeleitet. So funktionieren manche Captive Portals und manche Zensurmethoden.
  • Dein konfigurierter Resolver sieht jede Anfrage. Wer auch immer deinen DNS betreibt, kennt jede Domain, die du besuchst — in Reihenfolge, mit Zeitstempel.

DoH (RFC 8484, 2018) ändert Punkt 1 und 2: Anfragen reisen innerhalb einer TLS-verschlüsselten HTTPS-Verbindung zum Resolver. Beobachter auf dem Pfad sehen HTTPS-Bytes, keine Domainnamen. Fälschungen werden genauso schwierig wie das Fälschen einer beliebigen HTTPS-Antwort (d. h. ohne das TLS-Zertifikat des Resolvers praktisch unmöglich). Punkt 3 ändert sich nicht — der Resolver sieht die Anfragen weiterhin, da sie an ihn gerichtet sind. DoH verschiebt die Vertrauensgrenze; er beseitigt sie nicht.

DoT (DNS-over-TLS, RFC 7858) macht dasselbe über einen dedizierten Port (853), anstatt HTTPS auf Port 443 zu nutzen. Funktional gleiche Datenschutzeigenschaften; operativ unterschiedlich. DoH ist schwerer auf Netzwerkebene zu blockieren, weil das Blockieren beliebiges HTTPS sperren würde, was das gesamte Internet lahmlegen würde. DoT ist für Netzwerkbetreiber einfacher selektiv durchzusetzen oder zu blockieren. DoH hat das Deployment-Rennen hauptsächlich gewonnen, weil Mozilla und Google es standardmäßig in Browser integriert haben.

Drei Dinge, die DoH wirklich löst

1. ISP-DNS-Spionage

In den USA dürfen ISPs seit 2017 Surfingdaten ohne ausdrückliche Einwilligung verkaufen, und DNS-Abfrageprotokolle gehören dazu. In anderen Ländern variieren die Rechtsrahmen; in manchen deckt die obligatorische Datenspeicherung DNS namentlich ab. So oder so: Wenn du den Resolver deines ISPs verwendest, hat dein ISP ein vollständiges Protokoll, welche Seiten du mit Zeitstempel besuchst.

DoH zu einem Nicht-ISP-Resolver (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9, NextDNS, AdGuard DNS, Mullvads DNS, der Resolver in deinem VPN) schließt das aus Sicht deines ISPs vollständig. Der ISP sieht immer noch TLS-Verbindungen zu bestimmten IP-Adressen, und aus diesen IPs (plus SNI im TLS-Handshake, siehe unten) kann er oft den Hostnamen ableiten — aber er hat kein sauberes, abfragbares DNS-Protokoll mehr. Das Vertrauen verlagert sich vom ISP auf den Betreiber deines DoH-Resolvers.

2. DNS-Manipulation im Café

Captive Portals in öffentlichen WLAN-Netzen funktionieren, indem sie DNS-Anfragen (und HTTP-Anfragen) abfangen und auf eine Portalseite umleiten, bis du die Nutzungsbedingungen des Netzwerks akzeptierst. Dieser Mechanismus — das Abfangen deines DNS — hat dieselbe Form wie bösartige DNS-Manipulation. Ein feindliches Netzwerk kann deine DNS-Antworten umschreiben, um dich auf Phishing-Seiten oder Werbeinjektions-Proxys umzuleiten. Einfaches DNS gibt ihnen eine leichte Angriffsfläche; DoH schließt sie.

Dies ist einer der Fälle, in denen sich DoH und ein VPN-Tunnel überschneiden. Ein VPN tunnelt alles einschließlich DNS durch verschlüsselte Bytes; DoH allein tunnelt nur die DNS-Anfragen. In einem feindlichen Netzwerk besiegt jede der beiden Maßnahmen die Klasse der DNS-Manipulationsangriffe, aber sie behandeln verschiedene Schichten. Wir haben die Bedrohungslandschaft in Öffentliche WLAN-Angriffe in 2026 beschrieben.

3. Bestimmte Formen staatlicher DNS-Zensur

Einige Zensursysteme implementieren DNS-basierte Sperrungen: Wenn du fragst „Was ist die IP für gesperrte-seite.com?“, gibt der staatlich vorgeschriebene Resolver NXDOMAIN zurück oder leitet auf eine „Diese Seite ist gesperrt“-Seite um. DoH zu einem Resolver außerhalb der zensierenden Jurisdiktion besiegt diesen spezifischen Mechanismus, weil das zensierende Netzwerk nur HTTPS zum DoH-Resolver sieht, nicht die darin enthaltenen Anfragen.

Der Vorbehalt: Das funktioniert nur, bis der Zensor eskaliert. Ausgefeilte Zensurmethoden (China, Iran) blockieren DoH-Resolver direkt per IP, erzwingen HTTPS-Abfang über staatlich ausgestellte Root-CAs oder nutzen SNI-basierte Sperrung (siehe nächster Abschnitt). DoH besiegt naive DNS-Zensur; es besiegt keine entschlossene Nationalstaatszensur.

Drei Dinge, bei denen DoH nicht hilft

1. SNI-Leck im TLS-Handshake

Das ist die Tücke, die die meisten Artikel überspringen. Wenn du dich über HTTPS mit „example.com“ verbindest, sendet dein Browser den Hostnamen im Klartext während des TLS-Handshakes — genauer gesagt in der SNI (Server Name Indication)-Erweiterung. Der Grund: Eine einzige IP bedient oft viele Domains über TLS-Terminierung, und der Server muss wissen, welches Zertifikat er präsentieren soll, bevor die verschlüsselte Sitzung beginnt. SNI ist absichtlich im Klartext.

Nettowirkung: Selbst mit DoH sieht ein Netzwerkbeobachter über SNI, mit welchen Hostnamen du dich verbindest. Die DNS-Spionage-Lösung ist unvollständig. Die Gegenmaßnahme ist ECH (Encrypted Client Hello) — eine relativ neue TLS-Erweiterung, die den SNI verschlüsselt. Cloudflare hat ECH für Seiten hinter ihrem Netzwerk 2023 aktiviert, und Firefox + Chrome haben Unterstützung hinzugefügt, aber die Verbreitung außerhalb von Cloudflare ist noch lückenhaft. Bis ECH universell ist, schließt DoH nur die Hälfte der Frage „Wer kann sehen, welche Seiten du besuchst?“.

2. IP-basierte Identifizierung von Zielen

Selbst mit DoH und ECH gehen deine TLS-Verbindungen noch zu bestimmten Ziel-IPs. Für Seiten mit dedizierter Infrastruktur (Banken, Nischendienste) ist die Ziel-IP auch ohne DNS oder SNI ein nahezu perfekter Bezeichner der Seite. Für Seiten hinter großen CDNs (Cloudflare, Fastly, AWS CloudFront) ist die IP-basierte Identifizierung unklärer — Millionen von Seiten teilen sich wenige IPs — aber die größten Seiten haben immer noch einzigartige Infrastruktur oder charakteristische Verkehrsmuster.

DoH löst das nicht; es kann es nicht. Ein Netzwerkbeobachter, der wirklich wissen will, welche Seiten du besuchst, kann eine IP-zu-Domain-Mapping-Tabelle erstellen und deine Verkehrsziele nachschlagen. Die Gegenmaßnahme ist ein VPN-Tunnel, der die Ziel-IP-Sichtbarkeit vom lokalen Netzwerk zum VPN-Anbieter verschiebt. Das Vertrauen muss irgendwo hin; DoH allein lässt es beim Netzwerkbetreiber.

3. Dein DoH-Anbieter sieht alles, was du früher deinem ISP geleakt hast

Das ist der Kompromiss, den DoH-Marketing meist verschweigt: DoH macht deine DNS-Anfragen nicht privat; es verschiebt die Sichtbarkeit von deinem ISP zu deinem gewählten DoH-Resolver. Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9, NextDNS, AdGuard und jeder andere DoH-Anbieter sehen jede Anfrage, die du stellst, genauso wie es dein ISP früher tat. Einige veröffentlichen strenge No-Log-Richtlinien; einige protokollieren nur aggregiert; einige verkaufen aggregierte Daten an „Forschungspartner“. Der Rechtsrahmen rund um deinen DoH-Anbieter ist genauso wichtig wie der rund um deinen ISP.

Cloudflares 1.1.1.1 veröffentlicht Prüfberichte, die angeben, dass Protokolle nach 24 Stunden verworfen werden und keine DNS-Daten verkauft werden. Googles 8.8.8.8 protokolliert Anfragen (mit Anonymisierung) für unbestimmte Zeiträume gemäß seiner angegebenen Aufbewahrungsrichtlinie. NextDNS lässt dich deine eigene Protokollaufbewahrung konfigurieren — von „keine“ bis „dein Konto, deine Wahl“. Die Wahl des DoH-Anbieters ist entscheidend; die Frage ist, welche Vertrauensbeziehung du bevorzugst — dein ISP unter den Gesetzen deines Landes oder dein DoH-Anbieter unter den Gesetzen seines Landes.

Zwei Dinge, die DoH legitim bricht

1. Kindersicherungen und Heimnetzwerk-Filterung

Die meisten Kindersicherungssysteme für Verbraucher funktionieren, indem sie DNS am Router überprüfen oder über einen konfigurierten Familienfilter-DNS-Resolver (OpenDNS Family Shield, Cleanbrowsing Family, NextDNS-Familienprofil). Wenn das Gerät deines Kindes diese Resolver verwendet, geben Abfragen für Erwachseneninhalte, Glücksspiel usw. NXDOMAIN zurück. Das System hängt davon ab, dass das Gerät zuerst den Kindersicherungs-DNS-Resolver fragt.

Browser-seitiges DoH (Firefox hat DoH 2019 standardmäßig für US-Nutzer aktiviert; Chrome und Edge verwenden den OS-Resolver, aber mit DoH, wenn konfiguriert) umgeht diese Systeme stillschweigend. Der Browser fragt Cloudflare oder Google direkt, der Familienfilter-Resolver sieht die Anfrage nie, und das Kind gelangt auf die gewünschte Seite. Das ist aus Mozillas Perspektive beabsichtigt („Wir sollten Netzwerke nicht zensieren lassen“); aus elterlicher Perspektive ein Versehen („Der Filter, für den wir bezahlt haben, hat gerade aufgehört zu funktionieren“).

Gegenmaßnahmen existieren, sind aber umständlich: DoH auf OS-Ebene (nicht Browser) zu einem familienbewussten Resolver wie NextDNS-Familienprofil oder OpenDNS Family Shield konfigurieren, dann Browser-seitiges DoH deaktivieren, damit es auf die OS-Wahl zurückfällt. Sowohl Apples Konfigurationsprofile als auch Windows-Gruppenrichtlinien unterstützen das. Für die meisten Haushalte ist es kompliziert genug, um eine echte Hürde darzustellen.

2. Unternehmenssicherheit und netzwerkbasierte Malware-Blockierung

Die meisten Unternehmensnetzwerke implementieren DNS-basierte Sicherheit: Ein Sinkhole-DNS-Server löst bekannt bösartige Domains zu nichts auf (oder zu einer internen Warnseite) und blockiert damit Malware-Command-and-Control, Phishing-Umleitungen und Datenexfiltration zu bekannten Endpunkten. Das funktioniert, weil jedes Gerät im Unternehmensnetzwerk den Unternehmens-DNS verwendet, sodass jede Abfrage gefiltert wird.

Browser-seitiges DoH umgeht das stillschweigend. Ein kompromittierter Browser, der daran gehindert werden sollte, seinen C2-Server zu erreichen, kann einfach den C2-Hostnamen per DoH über Cloudflare auflösen, die echte IP erhalten und direkt verbinden. Unternehmens-IT-Teams haben darauf reagiert, indem sie: (a) die Browser-Richtlinie konfigurierten, um DoH zu deaktivieren, (b) vollständige TLS-Inspektion einsetzten, damit der Sicherheits-Stack in HTTPS einschließlich DoH-Traffic sehen kann, oder (c) bekannte DoH-Resolver-IPs an der Firewall blockierten. Keine davon ist angenehm — Option (a) lässt Nutzer auch zu Hause mit einfachem DNS, Option (b) erfordert die Installation einer Root-CA auf jedem Gerät, Option (c) bricht, wenn neue DoH-Endpunkte auftauchen.

DoH auf jeder Plattform — was ist die tatsächliche Konfiguration?

iOS 14+ / iPadOS 14+: Einstellungen → Allgemein → VPN & Geräteverwaltung → DNS — aber nur über ein installiertes Konfigurationsprofil. iOS bietet DoH nicht in der Standard-Einstellungen-UI an; du installierst eine .mobileconfig-Datei (Cloudflare, Quad9, NextDNS, AdGuard, Mullvad veröffentlichen sie alle). Nach der Installation verwendet jede App auf dem Gerät DoH zu diesem Resolver. Das ist beabsichtigt — iOS behandelt DoH als OS-Einstellung, nicht pro App.

Android 9+: Einstellungen → Netzwerk & Internet → Erweitert → Privates DNS — aber das ist eigentlich DoT, nicht DoH. Android hat „Privates DNS“ mit DoT (Port 853) statt DoH (HTTPS) implementiert. Funktional gleiche Datenschutzeigenschaften; das Protokoll ist anders. Gib den Hostnamen eines DoT-Resolvers ein (one.one.one.one für Cloudflare, dns.google für Google, dns.adguard.com für AdGuard) und Android verschlüsselt jede DNS-Anfrage systemweit.

macOS 11+: gleicher Konfigurationsprofil-Mechanismus wie iOS. Apple hat eigene DoH-Unterstützung, stellt sie aber nicht über die Systemeinstellungen bereit; du installierst ein Profil.

Windows 11: Einstellungen → Netzwerk & Internet → Adaptereigenschaften → DNS-Serverzuweisung → „Nur verschlüsselt (DNS over HTTPS)“ — Windows kennt Cloudflare, Google und Quad9 standardmäßig und konfiguriert DoH automatisch, wenn du diese IPs einstellst. Windows 10 hat DoH-Unterstützung, aber sie ist schwerer zu finden.

Browser-seitiges DoH: Firefox aktiviert DoH standardmäßig für US-Nutzer (Einstellungen → Datenschutz & Sicherheit → DNS over HTTPS). Chrome nennt es „Sicheres DNS“ (Einstellungen → Datenschutz und Sicherheit → Sicherheit). Safari verwendet macOS-Konfiguration statt browserspezifischer Konfiguration. Edge verwendet Windows-Konfiguration. Browser-DoH ist schnell zu aktivieren, schafft aber das oben beschriebene Kindersicherungs- / Unternehmensumgehungsproblem; OS-seitiges DoH legt die Entscheidung an einem Ort fest, wo sie gesteuert werden kann.

Einen DoH-Resolver wählen — der ehrliche Vergleich

Die Wahl deines DoH-Resolvers ist die eigentliche Datenschutzentscheidung, die DoH dir ermöglicht. Die wichtigsten Optionen:

  • Cloudflare 1.1.1.1: schnell (Anycast, unter 15 ms in den meisten Metropolen), 24-Stunden-Protokollaufbewahrung, jährlich geprüft. Hat eine „Familie“-Variante (1.1.1.3), die Erwachseneninhalte blockiert. Cloudflare bietet auch WARP an, ein VPN-lite, das DoH mit einem Tunnel zum Cloudflare-Netzwerk kombiniert.
  • Google 8.8.8.8: schnell, allgegenwärtig, unbegrenzte Protokollaufbewahrung gemäß Googles angegebener Richtlinie. Datenschutz nach Google-Maßstäben ausreichend, aber wenn „Google einen weiteren Datenstrom anvertrauen“ ein Problem ist, schau dich woanders um.
  • Quad9 9.9.9.9: gemeinnützige Schweizer Stiftung, blockiert standardmäßig bekannt bösartige Domains, angegebene No-Log-Richtlinie, konservativer bei Daten als die meisten.
  • NextDNS: pro Profil konfigurierbar (Blocklisten, Familienfilter, Protokollaufbewahrung) — die Power-User-Wahl. Siehe unseren Vergleich für Details.
  • AdGuard DNS: blockiert aggressiv Werbung/Tracker auf DNS-Ebene, unterstützt sowohl DoH als auch DoT.
  • Mullvad DNS: eigenständig verfügbar (kein VPN-Abonnement erforderlich), schwedisch, konfigurierbares Content-Blocking, zugänglich über DoH und DoT.
  • Der Resolver deines VPN-Anbieters: Casper’s Cloak, ProtonVPN (NetShield), Mullvad — DNS wird innerhalb des VPN-Tunnels verwaltet, keine separate Konfiguration erforderlich. Praktisch; bedeutet, dem VPN-Anbieter für beide Schichten zu vertrauen, was unvermeidlich ist, wenn du sowieso ein VPN nutzt.

Die ehrliche Formulierung: Es gibt keinen „besten“ DoH-Resolver; es gibt den besten für dein Bedrohungsmodell. Geschwindigkeit ist für manche wichtig, Blocklisten für andere, No-Log-Richtlinie für wieder andere, Jurisdiktion für weitere. Wähle einen, konfiguriere ihn auf OS-Ebene (nicht nur Browser-Ebene), damit die Wahl alle Apps abdeckt, und überprüfe ihn, wenn sich deine Prioritäten oder die Transparenzberichte eines Resolvers ändern.

Wo DoH mit VPNs und Werbeblockierung zusammenspielt — das einheitliche Bild

Drei unabhängige Datenschutzschichten, jede schließt eine andere Angriffsfläche:

  • VPN-Tunnel: verschlüsselt die Ziel-IP-Sichtbarkeit vom lokalen Netzwerk, verschiebt sie zum VPN-Anbieter. Schließt „Das Café / der ISP kann sehen, mit welchen IPs du dich verbindest.“
  • DoH / DoT: verschlüsselt die DNS-Anfragen vom lokalen Netzwerk und vom ISP, verschiebt die DNS-Sichtbarkeit zum DoH-Resolver. Schließt „DNS-Protokoll beim ISP“ und „DNS-Manipulation auf Netzwerkebene.“
  • DNS-basierte Inhaltsfilterung (Pi-hole, NextDNS, AdGuard DNS): blockiert Abfragen für Werbung, Tracker, Malware, Phishing — am Resolver. Schließt „Jede App auf deinem Gerät lädt Tracker-SDKs, deren Endpunkte auf DNS-Ebene blockiert werden könnten.“

DoH allein ist eine Schicht. Eine echte Datenschutzhaltung stapelt alle drei. Casper’s Cloak ist darauf ausgelegt, diesen Stack als eine einzige App bereitzustellen: VPN-Tunnel + Pi-hole-DNS-Filterung (wir betreiben pro Nutzer eine Pi-hole-Instanz als Resolver) + ML-basierte Zero-Day-Phishing-Erkennung zusätzlich zu den statischen Blocklisten. DoH ist implizit in der Verkabelung — DNS-Anfragen zwischen dem Gerät und unserem Resolver sind verschlüsselt. Die ehrliche Formulierung ist, dass dies eine gültige Architektur ist; eine andere ist „DoH auf OS-Ebene zu NextDNS konfigurieren, eigenes VPN deiner Wahl schichten, denselben Endzustand mit mehr Reglern erreichen.“ Beide funktionieren; der Kompromiss ist Komfort gegenüber Konfigurierbarkeit. Wir haben denselben Punkt aus dem DNS-Filterungs-Blickwinkel in Wie DNS-basierte Filterung wirklich funktioniert behandelt.

Fazit

DoH ist eine echte und nützliche Datenschutzverbesserung, mit Vorbehalten, die nicht im Marketingtext stehen. Es schließt ISP-DNS-Spionage, DNS-Manipulation im Café und naive Zensur — drei echte Probleme für echte Nutzer. Es schließt keine SNI-Lecks, IP-basierte Zielidentifizierung oder das Vertrauen in deinen gewählten Resolver. Und es bricht Kindersicherungen und Unternehmenssicherheit in legitimen Anwendungsfällen, wenn du nicht sorgfältig konfigurierst.

Die wichtigste DoH-Entscheidung ist, welchen Resolver du wählst, auf OS-Ebene konfiguriert, damit jede App ihn konsistent erhält. Die zweitwichtigste Entscheidung ist, ob du DoH mit einem VPN-Tunnel (schließt Ziel-IP-Sichtbarkeit) und DNS-basierter Inhaltsfilterung (blockiert Werbung/Tracker/bösartige Domainabfragen) schichtest. DoH allein löst eine Schicht; der einheitliche Stack löst die gesamte Oberfläche.


Verwandtes: Wie DNS-basierte Filterung wirklich funktioniert behandelt die Filterungsschicht, die DoH allein nicht enthält; Öffentliche WLAN-Angriffe in 2026 behandelt das Netzwerk-Feindlichkeits-Bedrohungsmodell, bei dem DoH hilft; Kostenlose VPNs vs. bezahlte VPNs in 2026 behandelt die VPN-Tunnel-Schicht. Der NextDNS-Vergleich und der Pi-hole-Vergleich gehen auf die konfigurierbaren DNS-Resolver-Optionen ein.

Geprüft vom Casper's Cloak Security Team · Zuletzt aktualisiert

Casper’s Cloak ausprobieren

VPN-Tunnel + Pi-hole-DNS-Filterung (standardmäßig DoH-verschlüsselt) + ML-Bedrohungserkennung in einer App. Der einheitliche Stack ohne Konfiguration auf jeder Ebene — sieh dir die Preise oder unser Bedrohungsschutz-Feature an.