Netzwerkguide

DNS over HTTPS (DoH) und DNS over TLS (DoT) 2025

Verschlüsselte DNS-Anfragen für mehr Privatsphäre

S
SeeColors IT11. Juni 20264 Min. Lesezeit234 Aufrufe

DoH vs. DoT vs. Standard-DNS

Standard-DNS (UDP Port 53):
Client → [INTERNET UNVERSCHLÜSSELT] → DNS-Server
ISP kann mitlesen! MITM möglich.

DNS over TLS (DoT, Port 853):
Client → [TLS-Tunnel] → DNS-Server
Verschlüsselt, aber erkennbar als DNS-Traffic.

DNS over HTTPS (DoH, Port 443):
Client → [HTTPS wie normaler Web-Traffic] → DNS-Server
Verschlüsselt UND nicht von HTTPS unterscheidbar.

DNS over QUIC (DoQ) – neu, noch selten

Empfohlene DoH/DoT Provider

Cloudflare:
  DoH: https://cloudflare-dns.com/dns-query
  DoT: 1dot1dot1dot1.cloudflare-dns.com

Quad9 (empfohlen für Deutschland, Schweizer Firma):
  DoH: https://dns.quad9.net/dns-query
  DoT: dns.quad9.net
  Besonderheit: Blockiert bekannte Malware-Domains

NextDNS (individuell konfigurierbar):
  DoH: https://dns.nextdns.io/ACCOUNT_ID
  (eigene Blocklisten, Log, Statistiken)

Firefox DoH aktivieren

about:preferences → Allgemein → Verbindungseinstellungen
→ DNS over HTTPS aktivieren
→ Anbieter: Cloudflare (oder benutzerdefiniert)

Linux systemd-resolved (DoT)

# /etc/systemd/resolved.conf
cat > /etc/systemd/resolved.conf << 'EOF'
[Resolve]
DNS=9.9.9.9#dns.quad9.net 2620:fe::fe#dns.quad9.net
FallbackDNS=1.1.1.1#cloudflare-dns.com
DNSOverTLS=opportunistic
DNSSEC=yes

systemctl restart systemd-resolved

# Prüfen
resolvectl status
resolvectl query firma.de

# DNS-Traffic prüfen (sollte Port 853 statt 53 zeigen)
ss -tlnp | grep :853

Pi-hole mit DoH (Cloudflared)

# cloudflared installieren
wget https://github.com/cloudflare/cloudflared/releases/latest/download/cloudflared-linux-amd64.deb
dpkg -i cloudflared-linux-amd64.deb

# cloudflared als DNS-Proxy
cloudflared proxy-dns     --port 5053     --upstream https://dns.quad9.net/dns-query     --upstream https://cloudflare-dns.com/dns-query &

# Pi-hole Custom DNS auf cloudflared
# Pi-hole Admin → Settings → DNS
# Custom 1: 127.0.0.1#5053

# Als systemd-Dienst
cat > /etc/systemd/system/cloudflared.service << 'EOF'
[Unit]
Description=Cloudflare DoH Proxy

[Service]
ExecStart=/usr/local/bin/cloudflared proxy-dns --port 5053     --upstream https://dns.quad9.net/dns-query
Restart=on-failure

[Install]
WantedBy=multi-user.target
EOF

systemctl enable --now cloudflared

FAQ

Ist DoH sicherer als DoT?
Beide verschlüsseln den DNS-Traffic. DoH ist schwerer zu blockieren (Port 443). DoT (Port 853) ist leichter von Firewalls zu kontrollieren.

Kann mein ISP DoH blockieren?
Ja, durch Blockierung der DoH-Server-IPs. Aber das ist aufwändig und unüblich in Deutschland.

Fazit

DoH über systemd-resolved oder Pi-hole+cloudflared verschlüsselt DNS-Traffic einfach netzwerkweit – mehr Privatsphäre ohne Performance-Einbußen.

DNS-Sicherheit und Datenschutz für KMU in Heidelberg, Mannheim und der Rhein-Neckar-Region. Anfragen.

Artikel teilen

LinkedIn X / Twitter Facebook WhatsApp

War dieser Artikel hilfreich?

Dein Feedback hilft uns, bessere Inhalte zu erstellen.

Kommentar hinterlassen

#DNS#Sicherheit#Datenschutz#DoH

Verwandte Artikel

Active Directory – Fine-Grained Password Policies 2025

4 Min.

Active Directory Tier-Modell – privilegierte Konten sichern 2025

4 Min.

Windows DNS Server – Zonen und Records konfigurieren 2025

4 Min.