DoH vs DoT – verschlüsseltes DNS einfach erklärt

DoH vs DoT - verschlüsseltes DNS einfach erklärt - IT-Glossary

Du willst DNS absichern und fragst dich, ob DNS over HTTPS (DoH) oder DNS over TLS (DoT) die bessere Wahl ist. Beide Verfahren verschlüsseln DNS-Anfragen, schützen also vor Mitlesen und Manipulation. Der Unterschied liegt vor allem darin, wie sie transportiert werden und wo sie in deinem Netzwerk am besten passen. In diesem Guide erkläre ich dir leicht verständlich, wie DoH und DoT funktionieren, worin sie sich unterscheiden, welche Vorteile sie bieten und wie du dich praxisnah entscheidest.

Warum DNS verschlüsseln

Unverschlüsseltes DNS zeigt, welche Domains du aufrufst. Auf dem Weg zwischen Gerät und Resolver können Provider, öffentliche WLANs oder Angreifer mitlesen oder antworten verändern. DoH und DoT verschlüsseln die Strecke zum Resolver, damit Anfragen vertraulich und unverfälscht ankommen. Wichtig: Du verlässt dich danach auf den Resolver-Anbieter – wähle einen, dem du vertraust.

Wie DoH funktioniert

DNS over HTTPS sendet DNS über HTTPS auf Port 443. Technisch sind es HTTP/2 oder HTTP/3 Requests mit TLS 1.3.
Vorteile: Nutzt den Standard-Webverkehr, funktioniert oft auch hinter strengen Firewalls, kann Cachen und Multiplexing effizient nutzen.
Beachte: DoH steckt im Browser- oder App-Stack. Netzwerk-Admins sehen weniger und Policies sind schwerer durchzusetzen, wenn jedes Programm seinen eigenen Resolver nutzt.

Wie DoT funktioniert

DNS over TLS verpackt DNS in TLS auf Port 853. Das Protokoll bleibt DNS, nur eben verschlüsselt.
Vorteile: Klar erkennbarer Port, gut für Netzwerkregeln, zentral auf Betriebssystem- oder Gateway-Ebene konfigurierbar.
Beachte: In sehr restriktiven Netzen ist 853 eventuell gesperrt. Dann brauchst du Freigaben oder fällst auf klassisches DNS zurück.

DoH vs DoT – die wichtigsten Unterschiede

Transport und Ports

  • DoH: HTTPS über 443 – tarnt sich im normalen Webverkehr, profitiert von HTTP/2 und HTTP/3.
  • DoT: TLS über 853 – separater Port, einfach zu identifizieren und zu regeln.

Verwaltung und Sichtbarkeit

  • DoH wird oft in Browsers oder Apps aktiviert. Vorteil für Endnutzer, aber Netzwerktransparenz leidet.
  • DoT setzt du zentral auf Routern, Firewalls oder dem OS. Gut für einheitliche Policies, Logging und Split-DNS.

Performance

Beide nutzen TLS 1.3 mit Session Resumption. DoH kann durch HTTP/2 Multiplexing und HTTP/3/QUIC bei vielen parallelen Anfragen Latenz sparen. DoT ist schlank, performt stabil und ist einfach zu tunen. Am Ende zählt die Nähe und Qualität deines Resolvers.

Kompatibilität

  • Endgeräte: Viele Browser bieten DoH, einige Betriebssysteme DoH und DoT. Android kennt Private DNS für DoT.
  • Unternehmen: Für Split-Horizon-DNS und Compliance ist DoT über Gateways oft einfacher. DoH eignet sich gut für Endnutzergeräte oder Home-Office, wenn Firewalls streng sind.

Praxis: Wann wähle ich was

DoH sinnvoll

Du bist im öffentlichen WLAN, willst ohne Spezialkonfiguration verschlüsselt auflösen und nutzt hauptsächlich Browser. DoH läuft über 443 und funktioniert oft sofort.

DoT sinnvoll

Du möchtest netzweit eine einheitliche Lösung, etwa auf deiner Firewall, deinem Router oder Servern. Du brauchst Policies, Logging, Split-DNS und klare Kontrolle.

Einfache Startpunkte

DoH im Browser aktivieren

Aktiviere Sicheres DNS in den Einstellungen deines Browsers und wähle einen vertrauenswürdigen Resolver. Ab dann laufen DNS-Anfragen der Browser-Tabs über HTTPS.

DoT am Router oder OS

Trage beim Router oder im Betriebssystem einen DoT-Resolver-Hostnamen ein. Stelle sicher, dass Port 853 offen ist, und teste mit einem DNS-Testtool, ob Anfragen verschlüsselt laufen.

Sicherheit und Datenschutz kurz erklärt

Mit DoH und DoT sind Inhalt und Ziel deiner DNS-Anfrage auf der Strecke geschützt. Der Resolver sieht weiterhin, was du fragst – er muss vertrauenswürdig sein. Prüfe Datenschutzrichtlinien, Löschfristen und ob Sicherheitsfunktionen wie Malware-Filter abschaltbar sind. Blockiere ICMP nicht unnötig, damit Pfad- und MTU-Themen sauber funktionieren.

Typische Stolpersteine

Captive Portals

Hotel- oder Bahn-WLANs verlangen oft eine Anmeldeseite. DoH oder DoT können diese umgehen, wodurch die Anmeldung scheitert. Lösung: Kurzzeitig deaktivieren, anmelden, danach wieder aktivieren.

Split-DNS und interne Zonen

Wenn interne Domains nur intern auflösbar sind, binde DoT an deinen internen Resolver oder setze DoH/DoT auf der Firewall um. So bleiben interne Antworten erhalten.

Fehlersuche

Prüfe die Ports (443 für DoH, 853 für DoT), die Zertifikatsgültigkeit des Resolvers und ob deine Firewall den Verkehr mitläuft. Nutze Testseiten oder Tools, um verschlüsselte DNS-Erkennung zu bestätigen.

Fazit

DoH und DoT bringen verschlüsseltes DNS in den Alltag. DoH punktet mit Kompatibilität über 443 und ist ideal für Browser und strenge Netze. DoT überzeugt bei zentralem Betrieb, klaren Policies und interner Namensauflösung. Wichtig ist nicht das Dogma, sondern die Passform: Wähle den Ansatz, der zu deinem Umfeld und deinen Sicherheitszielen passt – und kombiniere sie, wenn es Sinn ergibt.

weitere Inhalte:

  1. Netzwerke verstehen: Die Grundlagen einfach erklärt
    In der digitalen Welt, in der wir leben, sind Netzwerke von zentraler Bedeutung. Sie bilden die Grundlage für die Kommunikation zwischen Computern und anderen Geräten, die täglich genutzt werden. Ob es darum geht, im Büro zu arbeiten, zu Hause zu...

  2. Netzwerkleistung messen und optimieren – Tipps für Stabilität
    Ruckelnde Video-Calls, zähe Downloads oder spürbare Verzögerungen beim Gaming nerven. Die gute Nachricht: Mit ein paar einfachen Messungen und gezielten Anpassungen bekommst du die Netzwerkleistung schnell in den Griff. In diesem Guide lernst du Schritt für Schritt, wie du wichtige...

  3. Backend-Entwicklung mit Node.js: Einsteiger-Guide mit Best Practices
    Node.js hat sich in den letzten Jahren zu einem der beliebtesten Werkzeuge für die Backend-Entwicklung entwickelt. In diesem Guide erfährst du, was Node.js ist, wie du damit arbeitest und welche Best Practices dir helfen, sauberen, sicheren und performanten Code zu...

  4. IPv6 einfach erklärt – Adressierung, Prefixe, Praxis
    IPv4-Adressen sind knapp, moderne Netze brauchen stabile Konnektivität ohne Krücken. Genau hier setzt IPv6 an. Es bringt riesige Adressräume, einfachere Netzplanung und automatische Konfiguration. In diesem Guide lernst du verständlich, wie IPv6-Adressen aufgebaut sind, wie Prefixe funktionieren und wie du...

  5. DNS (Domain Name System)
    Das Domain Name System (DNS) ist ein fundamentales Element des Internets und dient dazu, Domainnamen (wie z.B. www.example.com) in IP-Adressen (wie 192.0.2.1) umzuwandeln, die von Computern verwendet werden, um miteinander zu kommunizieren. DNS ist vergleichbar mit einem Telefonbuch, in dem...

/0 Kommentare/von
0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert