Kortversionen: klassisk DNS skickar dina förfrågningar — varje "vad är IP-adressen för example.com?" — som klartext-UDP som vem som helst på nätverksvägen kan läsa eller modifiera. DoH lindar in dessa förfrågningar i HTTPS, så att en observatör på nätverket inte längre ser domännamn och inte kan injicera falska svar. Det löser tre legitima problem (ISP-snooping av DNS, DNS-injektion på caféer, vissa former av statlig DNS-censur) och skapar två nya (föräldrakontroll och företagssäkerhet slutar fungera, och du har precis berättat för din valda DoH-leverantör om varje domän du besöker). DoH är varken "mer privat" eller "mindre privat" — det är annorlunda privat, och frågan är vilken avvägning som passar din hotmodell.
Vad DoH faktiskt är (och vad det ersätter)
Klassisk DNS är ett av de äldsta protokollen som fortfarande används i produktion. Det härstammar från 1983, föregår allestädes närvarande HTTPS, och designades när "alla på nätverket är ungefär betrodda" var ett rimligt antagande. Mekaniken: din enhet skickar ett UDP-paket till port 53 hos din konfigurerade DNS-resolver (vanligtvis din ISP:s, eller 8.8.8.8 / 1.1.1.1 om du har ändrat det). Paketets innehåll, i klartext, säger "ge mig A-posten för example.com." Resolvern svarar, i klartext, med IP-adressen. Tre egenskaper är värda att notera:
- Vem som helst på nätverksvägen kan läsa förfrågan. Din ISP, caféets WiFi, vem som helst som kör tcpdump på det lokala nätverket — varje domännamn du slår upp syns i klartext.
- Vem som helst på nätverksvägen kan förfalska ett svar. Om de skickar ett falskt svar till din enhet före den legitima resolvern, har du blivit omdirigerad. Så fungerar vissa captive portals och vissa censurregimer.
- Din konfigurerade resolver ser varje förfrågan. Den som driver din DNS känner till varje domän du besöker, i ordning, med tidsstämplar.
DoH (RFC 8484, 2018) ändrar punkterna 1 och 2: förfrågningar skickas inuti en TLS-krypterad HTTPS-anslutning till resolvern. Observatörer på vägen ser HTTPS-bytes, inte domännamn. Förfalskning blir lika svårt som att förfalska vilket HTTPS-svar som helst (dvs. i praktiken omöjligt utan resolverns TLS-certifikat). Punkt 3 ändras inte — resolvern ser fortfarande förfrågningarna, eftersom de är adresserade till resolvern. DoH förflyttar förtroendegränsen; den tar inte bort den.
DoT (DNS-over-TLS, RFC 7858) gör samma sak på en dedikerad port (853) i stället för att åka med HTTPS på port 443. Funktionellt likvärdiga integritetsegenskaper; operativt annorlunda. DoH är svårare att blockera på nätverksnivå eftersom det kräver att man blockerar godtycklig HTTPS, vilket sönderdelar hela internet. DoT är lättare för nätverksoperatörer att selektivt tillämpa eller blockera. DoH vann distributionsloppet i hög grad för att Mozilla och Google levererade det i webbläsare som standard.
Tre saker DoH verkligen löser
1. ISP-snooping av DNS
I USA har ISP:er sedan 2017 lagligen fått sälja surfdata utan uttryckligt samtycke, och DNS-frågeloggar är en del av vad de samlar in. I andra länder varierar det rättsliga läget; i en del täcker obligatorisk datalagring DNS med namn. Hur som helst: om du använder din ISP:s resolver har din ISP en komplett logg över vilka webbplatser du besöker, med tidsstämplar.
DoH till en icke-ISP-resolver (Cloudflare 1.1.1.1, Google 8.8.8.8, Quad9 9.9.9.9, NextDNS, AdGuard DNS, Mullvads DNS, resolvern inuti din VPN) stänger detta helt ur din ISP:s perspektiv. ISP:n ser fortfarande TLS-anslutningar till specifika IP-adresser, och från dessa IP-adresser (plus SNI i TLS-handskakningen, se nedan) kan den ofta sluta sig till värdnamnet — men den har inte längre en ren, sökbar DNS-logg. Förtroendet förflyttas från ISP:n till den som driver din DoH-resolver.
2. DNS-injektion på caféer
Captive portals på offentliga WiFi-nät fungerar genom att fånga upp DNS-förfrågningar (och HTTP-förfrågningar) och omdirigera dem till en portalsida tills du accepterar nätverkets villkor. Den mekanismen — att fånga upp din DNS — har samma form som skadlig DNS-injektion. Ett fientligt nätverk kan skriva om dina DNS-svar för att omdirigera dig till nätfiskesidor eller annonsinsprutningsproxyer. Vanlig DNS ger dem en enkel attackyta; DoH stänger den.
Det här är ett av fallen där DoH och en VPN-tunnel överlappar. En VPN-tunnel krypterar allt inklusive DNS genom krypterade bytes; DoH krypterar ensamt bara DNS-förfrågningarna. På ett fientligt nätverk besegrar endera insatsen klassen av DNS-injektionsattacker, men de hanterar olika lager. Vi täckte hotlandskapet i Offentliga WiFi-attacker 2026.
3. Vissa former av statlig DNS-censur
Flera censurregimer implementerar DNS-nivåblockering: när du frågar "vad är IP-adressen för blockerad-sajt.com?" returnerar den statsmandaterade resolvern NXDOMAIN eller omdirigerar till en sida som säger "den här sidan är blockerad". DoH till en resolver utanför den censorerande jurisdiktionen besegrar just den mekanismen, eftersom det censurerade nätverket bara ser HTTPS till DoH-resolvern, inte förfrågningarna inuti.
Förbehållet: detta fungerar bara tills censorn eskalerar. Sofistikerade censurregimer (Kina, Iran) blockerar DoH-resolvers direkt via IP, tvingar HTTPS-interception via statligt utfärdade rot-CA:er, eller använder SNI-baserad blockering (se nästa avsnitt). DoH besegrar naiv DNS-censur; den besegrar inte entusiastisk nationsstats-censur.
Tre saker DoH inte hjälper med
1. SNI-läckage i TLS-handskakningen
Det här är den fallgropen som de flesta artiklar hoppar över. När du ansluter till "example.com" via HTTPS skickar din webbläsare värdnamnet i klartext under TLS-handskakningen — specifikt i SNI-tillägget (Server Name Indication). Anledningen: en enda IP-adress betjänar ofta många domäner via TLS-terminering, och servern behöver veta vilket certifikat den ska presentera innan den krypterade sessionen börjar. SNI är, av design, klartext.
Nettoresultat: även med DoH ser en observatör på nätverket vilka värdnamn du ansluter till via SNI. Fixet för DNS-snooping är ofullständigt. Motåtgärden är ECH (Encrypted Client Hello) — ett relativt nytt TLS-tillägg som krypterar SNI. Cloudflare aktiverade ECH för webbplatser bakom deras nätverk 2023, och Firefox + Chrome lade till stöd, men användning utanför Cloudflare är fortfarande sparsam. Tills ECH är universellt stänger DoH bara hälften av frågan "vem kan se vilka webbplatser du besöker".
2. IP-baserad identifiering av destinationer
Även med DoH och ECH går dina TLS-anslutningar fortfarande till specifika destinations-IP-adresser. För webbplatser med dedikerad infrastruktur (banker, nichétjänster) är destinations-IP-adressen en nästan perfekt identifierare av webbplatsen även utan DNS eller SNI. För webbplatser bakom stora CDN:er (Cloudflare, Fastly, AWS CloudFront) är IP-baserad identifiering mer otydlig — miljontals webbplatser delar ett fåtal IP-adresser — men de största webbplatserna har ändå unik infrastruktur eller distinkta trafikmönster.
DoH löser inte detta; det kan det inte. En nätverksobservatör som verkligen vill veta vilka webbplatser du besöker kan bygga en IP-till-domän-mappningstabell och slå upp dina trafikdestinationer. Motåtgärden är en VPN-tunnel, som flyttar destinations-IP-synligheten från det lokala nätverket till VPN-leverantören. Förtroendet måste ändå gå någonstans; DoH ensamt lämnar det hos nätverksägaren.
3. Din DoH-leverantör ser allt du brukade läcka till din ISP
Det här är den avvägning som DoH-marknadsföring vanligtvis utelämnar: DoH gör inte dina DNS-förfrågningar privata; den förflyttar synligheten från din ISP till din valda DoH-resolver. Cloudflare (1.1.1.1), Google (8.8.8.8), Quad9, NextDNS, AdGuard och alla andra DoH-leverantörer ser varje förfrågan du gör på exakt samma sätt som din ISP brukade göra. Vissa publicerar strikta policyer om att inte logga; vissa publicerar aggregerad-loggning; vissa säljer aggregerad data till "forskningspartners". Det rättsliga ramverket kring din DoH-leverantör spelar lika stor roll som det kring din ISP.
Cloudflares 1.1.1.1 publicerar revisionsrapporter som anger att de kastar loggarna efter 24 timmar och inte säljer DNS-data. Googles 8.8.8.8 loggar förfrågningar (med anonymisering) under obestämda perioder enligt deras angivna policy. NextDNS låter dig konfigurera din egen logglagring från "ingen" till "ditt konto, ditt val". Valet av DoH-leverantör spelar roll; frågan är vilket förtroendeförhållande du är mer bekväm med — din ISP under ditt lands lagar, eller din DoH-leverantör under dess lands lagar.
Två saker DoH legitimt sönderdelar
1. Föräldrakontroll och familjenätverksfiltrering
De flesta konsumentbaserade föräldrakontrollsystem fungerar genom att inspektera DNS vid routern eller via en konfigurerad familjefilter-DNS-resolver (OpenDNS Family Shield, Cleanbrowsing Family, NextDNS familjeprofil). När ditt barns enhet använder dessa resolvers returneras NXDOMAIN för uppslagningar av vuxeninnehåll, spel, osv. Systemet är beroende av att enheten frågar föräldrakontrollens DNS-resolver från första början.
DoH på webbläsarnivå (Firefox aktiverade DoH som standard 2019 för amerikanska användare; Chrome och Edge använder OS-resolvern men med DoH om det är konfigurerat) kringgår tysta dessa system. Webbläsaren frågar Cloudflare eller Google direkt, familjefilterresolvern ser aldrig förfrågan, och barnet kan nå vilken webbplats det ville besöka. Det är avsiktligt ur Mozillas perspektiv ("vi ska inte låta nätverk censurera"); av misstag ur en förälders perspektiv ("filtret vi betalade för slutade bara fungera").
Motåtgärder finns men är klumpiga: konfigurera DoH på OS-nivå (inte webbläsare) till en familjevänlig resolver som NextDNS familjeprofil eller OpenDNS Family Shield, och inaktivera sedan DoH på webbläsarnivå så att det faller igenom till OS-valet. Både Apples konfigurationsprofiler och Windows grupprincip stöder detta. För de flesta hushåll är det tillräckligt komplicerat för att vara ett verkligt hinder.
2. Företagssäkerhet och blockering av skadlig kod på nätverksnivå
De flesta företagsnätverk implementerar DNS-baserad säkerhet: en sinkhole-DNS-server resolvar kända skadliga domäner till ingenting (eller till en intern varningssida), blockerar skadlig kod command-and-control, nätfiskeomdirigeringar och dataexfiltrering till kända slutpunkter. Det fungerar eftersom varje enhet på företagsnätverket använder företagets DNS, så varje uppslagnig filtreras.
DoH på webbläsarnivå kringgår detta tyst. En komprometterad webbläsare som borde blockeras från att nå sin C2-server kan helt enkelt DoH-resolvera C2-värdnamnet via Cloudflare, få den riktiga IP-adressen och ansluta direkt. Företags-IT-team svarade antingen: (a) konfigurerar webbläsarpolicyn för att inaktivera DoH, (b) driftsätter fullständig TLS-inspektion så att säkerhetsstacken kan se inuti HTTPS inklusive DoH-trafik, eller (c) blockerar kända DoH-resolver-IP:er vid brandväggen. Inget av dessa är trevligt — alternativ (a) lämnar användare på vanlig DNS hemma också, alternativ (b) kräver att ett rot-CA installeras på varje enhet, alternativ (c) bryts när nya DoH-slutpunkter dyker upp.
DoH på varje plattform — vad är den faktiska konfigurationen?
iOS 14+ / iPadOS 14+: Inställningar → Allmänt → VPN och enhetshantering → DNS — men bara via en installerad konfigurationsprofil. iOS exponerar inte DoH i det vanliga inställningsgränssnittet; du installerar en .mobileconfig-fil (Cloudflare, Quad9, NextDNS, AdGuard, Mullvad publicerar alla sådana). När den är installerad använder varje app på enheten DoH till den resolvern. Det är avsiktligt — iOS behandlar DoH som en inställning på OS-nivå, inte per app.
Android 9+: Inställningar → Nätverk och internet → Avancerat → Privat DNS — men det är faktiskt DoT, inte DoH. Android implementerade "Privat DNS" med DoT (port 853) snarare än DoH (HTTPS). Funktionellt likvärdiga integritetsegenskaper; protokollet är annorlunda. Ange värdnamnet för en DoT-resolver (one.one.one.one för Cloudflare, dns.google för Google, dns.adguard.com för AdGuard) och Android krypterar varje DNS-förfrågan systemomfattande.
macOS 11+: samma konfigurationsprofilmekanism som iOS. Apple levererar sitt eget DoH-stöd men exponerar det inte via Systeminställningar; du installerar en profil.
Windows 11: Inställningar → Nätverk och Internet → adapteregenskaper → DNS-servertilldelning → "Endast krypterat (DNS over HTTPS)" — Windows känner till Cloudflare, Google och Quad9 som standard och konfigurerar automatiskt DoH om du anger dessa IP-adresser. Windows 10 har DoH-stöd men det är svårare att hitta.
DoH på webbläsarnivå: Firefox aktiverar DoH som standard för amerikanska användare (Inställningar → Sekretess och säkerhet → DNS over HTTPS). Chrome kallar det "Säker DNS" (Inställningar → Sekretess och säkerhet → Säkerhet). Safari använder macOS-nivåkonfiguration snarare än webbläsarspecifik konfiguration. Edge använder Windows-nivå. DoH i webbläsaren är snabbt att aktivera men skapar problemet med kringgående av föräldrakontroll/företag ovan; DoH på OS-nivå lägger beslutet på ett ställe där det kan styras.
Att välja en DoH-resolver — den ärliga jämförelsen
Att välja din DoH-resolver är det faktiska integritetsbeslut som DoH låter dig fatta. De stora alternativen:
- Cloudflare 1.1.1.1: snabb (anycast, under 15 ms i de flesta storstäder), 24-timmars logglagring, granskas årligen. Har en "familje"-variant (1.1.1.3) som blockerar vuxeninnehåll. Cloudflare erbjuder också WARP, en VPN-lättvikt som kombinerar DoH med en tunnel till Cloudflares nätverk.
- Google 8.8.8.8: snabb, allestädes närvarande, obestämd logglagring enligt Googles angivna policy. Integritet rimlig nog enligt Googles standard, men om "att lita på Google med ytterligare en dataström" är ett problem, titta någon annanstans.
- Quad9 9.9.9.9: schweizisk icke-vinstdrivande stiftelse, blockerar kända skadliga domäner som standardbeteende, angiven no-log-policy, mer konservativ med data än de flesta.
- NextDNS: konfigurerbar per profil (blocklists, familjefilter, logglagring) — kraftanvändarens val. Se vår jämförelse för djupare analys.
- AdGuard DNS: blockerar annonser/spårare aggressivt på DNS-lagret, stöder både DoH och DoT.
- Mullvad DNS: tillgänglig fristående (inget VPN-abonnemang krävs), svensk, konfigurerbar innehållsblockering, tillgänglig via DoH och DoT.
- Din VPN-leverantörs resolver: Casper's Cloak, ProtonVPN (NetShield), Mullvad — DNS hanteras inuti VPN-tunneln, ingen separat konfiguration krävs. Bekvämt; innebär att man litar på VPN-leverantören för båda lagren, vilket är oundvikligt om man ändå använder en VPN.
Det ärliga perspektivet: det finns ingen "bästa" DoH-resolver; det finns en bästa för din hotmodell. Hastighet spelar roll för vissa, blocklists för andra, no-log-policy för andra, jurisdiktion för andra. Välj en, konfigurera den på OS-nivå (inte bara webbläsarnivå) så att valet täcker varje app, och se över det när dina prioriteringar eller någon resolvers transparensrapporter förändras.
Var DoH passar med VPN:er och annonsblockerare — den samlade bilden
Tre oberoende integritetslager, vart och ett stänger en annan attackyta:
- VPN-tunnel: krypterar destinations-IP-synligheten från det lokala nätverket och flyttar den till VPN-leverantören. Stänger "caféet / ISP:n kan se vilka IP-adresser du ansluter till".
- DoH / DoT: krypterar DNS-förfrågningarna från det lokala nätverket och från ISP:n, och flyttar DNS-synligheten till DoH-resolvern. Stänger "DNS-logg hos ISP:n" och "DNS-injektion på nätverksnivå".
- DNS-nivåinnehållsfiltrering (Pi-hole, NextDNS, AdGuard DNS): blockerar uppslagningar för annonser, spårare, skadlig kod, nätfiske — vid resolvern. Stänger "varje app på din enhet laddar spårar-SDK:er vars slutpunkter kan blockeras på DNS-lagret".
DoH ensamt är ett lager. En verklig integritetshållning staplar alla tre. Casper's Cloak är byggt för att leverera denna stack som en enda app: VPN-tunnel + Pi-hole DNS-filtrering (vi kör en Pi-hole-instans per användare som resolver) + ML-baserad nolldagsdetektering av nätfiske utöver de statiska blocklistorna. DoH är implicit i hur det är kopplat — DNS-förfrågningar mellan enheten och vår resolver är krypterade. Det ärliga perspektivet är att det här är en giltig arkitektur; en annan är "konfigurera DoH på OS-nivå till NextDNS, lägg på din-egen-VPN, få samma slutresultat med fler kontroller". Båda fungerar; avvägningen är bekvämlighet kontra konfigurerbarhet. Vi täckte samma sak ur DNS-filtreringssynvinkel i Hur DNS-nivåfiltrering faktiskt fungerar.
Slutsats
DoH är en verklig och användbar integritetsförbättring, med förbehåll som inte finns i marknadsföringstexten. Den stänger ISP-snooping av DNS, DNS-injektion på caféer och naiv censur — tre verkliga problem för verkliga användare. Den stänger inte SNI-läckage, IP-baserad destinationsidentifiering eller förtroende för din valda resolver. Och den sönderdelar föräldrakontroll och företagssäkerhet i legitima användningsfall om du inte konfigurerar noggrant.
Det viktigaste enskilda DoH-beslutet är vilken resolver du väljer, konfigurerad på OS-nivå så att varje app får det konsekvent. Det näst viktigaste beslutet är huruvida du lägger DoH ovanpå en VPN-tunnel (stänger destinations-IP-synlighet) och DNS-nivåinnehållsfiltrering (blockerar annonser/spårare/skadliga domänuppslagningar). DoH ensamt löser ett lager; den samlade stacken löser attackytan.
Relaterat: Hur DNS-nivåfiltrering faktiskt fungerar täcker filtreringslagret som DoH ensamt inte inkluderar; Offentliga WiFi-attacker 2026 täcker hotmodellen för nätverksfientlighet som DoH hjälper med; Gratis VPN vs betald VPN 2026 täcker VPN-tunnellagret. NextDNS-jämförelsen och Pi-hole-jämförelsen går djupare in på valen av konfigurerbar DNS-resolver.