DNS over HTTPS vs. DNS over TLS - Was schützt besser?

Wenn es um DNS over HTTPS oder DNS over TLS geht, stellt sich die Frage, welches Protokoll den besseren Schutz für den eigenen Internetverkehr bietet. Die Basissicherheit des Datenverkehrs ist heute für alle Nutzer essenziell. Die Konfiguration von DNS over HTTPS verbirgt die aufgerufenen Webseiten effektiv vor Dritten und schützt vor Datenabgriffen.

Standardmäßig senden Geräte ihre DNS-Anfragen unverschlüsselt im Klartext. Dadurch können Internetanbieter, Administratoren in Firmennetzwerken oder Hacker in öffentlichen WLANs jeden besuchten Dienst ohne großen Aufwand nachverfolgen.

Durch die Verschlüsselung der DNS-Anfragen lässt sich dieses Problem beheben. In diesem Artikel erläutern wir ausführlich die Technologien DoH und DoT, analysieren die Besonderheiten von DNS over TLS und beleuchten, welches Protokoll - DNS over HTTPS oder DNS over TLS - für den Schutz des Heimnetzwerks und persönlicher Geräte die bessere Wahl ist.

Warum DNS-Anfragen verschlüsseln? Was sieht der Anbieter?

Traditionell funktioniert das Domain Name System (DNS) wie ein offenes Telefonbuch. Gibt man eine Webadresse im Browser ein, fragt das Gerät einen Server nach der zugehörigen IP-Adresse. Eine detaillierte Erklärung dieses grundlegenden Mechanismus finden Sie im Beitrag "Wie funktioniert DNS: Einfach erklärt". Die größte Schwachstelle des klassischen Ansatzes: Die Anfragen werden vollständig unverschlüsselt übertragen.

Jeder Knotenpunkt zwischen Ihrem Computer und dem Zielserver - sei es Ihr Heimrouter, die Hardware des Internetanbieters (ISP) oder ein öffentlicher Hotspot - kann diese Pakete abfangen, lesen oder sogar manipulieren. Anbieter nutzen diese Transparenz häufig, etwa um Nutzungsstatistiken zu sammeln, Webseiten auf regulatorische Anordnung zu sperren oder den Datenverkehr zu priorisieren.

Wichtig: Selbst wenn eine Webseite über ein Sicherheitszertifikat (HTTPS-Schloss im Browser) verfügt und der Anbieter den Inhalt und eingegebene Passwörter nicht sieht, kann er dennoch erkennen, zu welcher Domain eine Verbindung aufgebaut wurde. Nur eine zuverlässige Verschlüsselung der DNS-Anfragen verhindert, dass Dritte Ihren Browserverlauf mitverfolgen.

Wie funktioniert DNS over HTTPS (DoH)?

DoH "versteckt" DNS-Anfragen elegant im normalen Webtraffic. Für Außenstehende, inklusive Deep Packet Inspection (DPI) durch den Anbieter, sieht der Vorgang wie ein üblicher HTTPS-Aufruf aus.

DoH verwendet den Port 443, der auch für die Mehrheit moderner Webseiten genutzt wird. Es ist praktisch unmöglich, DoH-Traffic gezielt herauszufiltern oder zu blockieren. Der Anbieter müsste entweder versuchen, den gesamten Datenstrom zu entschlüsseln (ohne Schlüssel unmöglich) oder die IP-Adressen öffentlicher DNS-Server komplett sperren - was viele andere legitime Dienste beeinträchtigen würde.

In der Praxis ist DNS over HTTPS so populär, weil viele Browser wie Chrome, Edge und Firefox diese Funktion integriert haben. Sie senden DNS-Anfragen unabhängig von den globalen Systemeinstellungen, sodass Nutzer ihre Aktivitäten mit wenigen Klicks schützen können, ohne am Router etwas verändern zu müssen.

Was ist DNS over TLS (DoT) und welche Besonderheiten gibt es?

Das DNS over TLS (DoT)-Protokoll verfolgt das gleiche Ziel wie DoH, setzt aber auf einer anderen Netzwerkebene an. Es baut einen separaten, verschlüsselten Tunnel zwischen Gerät und DNS-Server auf - basierend auf dem TLS-Protokoll.

Eine Besonderheit von DoT ist die Nutzung des festen Ports 853. Netzwerktechnik erkennt dadurch, dass es sich um DNS-Daten handelt, auch wenn diese verschlüsselt übertragen werden.

Gerade in Unternehmensnetzwerken schätzen Administratoren diesen Ansatz. Der feste Port ermöglicht eine gezielte Überwachung und Kontrolle des Datenverkehrs, das Erkennen von Anomalien sowie das Blockieren schädlicher Anfragen direkt auf Router-Ebene.

Protokolle im Vergleich: Die wichtigsten Unterschiede zwischen DoH und DoT

Um zu entscheiden, ob DNS over HTTPS oder DNS over TLS besser geeignet ist, lohnt sich ein Blick auf das Verhalten im Alltag. Die jeweilige Architektur beeinflusst, wie widerstandsfähig das Protokoll gegen Sperren ist und wie schnell es arbeitet.

Netzwerkports und Möglichkeiten zur Umgehung von Sperren

Da DNS over TLS fest an Port 853 gebunden ist, reicht es für Internetanbieter oder staatliche Firewalls aus, diesen Port zu sperren. Danach kann das Gerät keine Verbindung mehr zu geschützten DNS-Servern aufbauen, und das Surfen ist effektiv blockiert, bis die Einstellungen angepasst werden.

DoH, das den Standardport 443 nutzt, lässt sich dagegen kaum unterbinden. Eine Blockade dieses Ports würde weite Teile des Internets, inklusive Banking, Marktplätze und große Plattformen, lahmlegen.

Leistung und Geschwindigkeit

Technisch gesehen ist der Datenaustausch über Port 853 etwas schneller: Der Protokollaufbau erfolgt ohne zusätzliche HTTP-Header, was die Datenpakete kleiner und die Latenz geringer macht.

Bei DoH muss das Gerät zusätzliche Ressourcen für HTTPS-Anfragen aufbringen. In der Praxis ist dieser Unterschied durch schnelle Internetverbindungen und leistungsstarke Prozessoren aber kaum spürbar - es geht um Millisekunden.

Was ist die beste Wahl: DoH oder DoT für Zuhause und Geräte?

Die Entscheidung hängt davon ab, wo die Verschlüsselung eingesetzt wird und vor wem man sich schützen möchte. Für Smartphones und Browser am PC ist DoH optimal. Es garantiert Zugang zu gewünschten Diensten - selbst in streng kontrollierten Unternehmens- oder öffentlichen WLANs.

Auf Routern im Heimnetz empfiehlt sich DNS over TLS. Für den Router ist es einfacher, reinen DNS-Traffic separat zu verarbeiten, ohne ihn mit Video- oder Webseiten-Downloads zu vermischen. Das entlastet die Hardware.

Achtung: Die Verschlüsselung der DNS-Anfragen macht Sie nicht komplett unsichtbar - der Anbieter kann weiterhin die Ziel-IP-Adressen Ihrer Verbindungen erkennen.

Fazit

Beide Protokolle erfüllen ihre Hauptaufgabe: Sie verbergen zuverlässig den Verlauf besuchter Webseiten vor Überwachung und Abgriff durch den Internetanbieter. Die endgültige Wahl hängt davon ab, an welcher Stelle Sie schützen und welche Geräte Sie einsetzen.

Für persönliche Geräte, Smartphones und Arbeitsplatzrechner bleibt DNS over HTTPS die beste Lösung. Es tarnt sich perfekt als normaler Webtraffic, lässt sich direkt im Browser aktivieren und funktioniert auch in restriktiven Netzen reibungslos.

Wer hingegen das gesamte Heimnetz absichern will, sollte DNS over TLS am Router einrichten. Das schützt Smart-TVs, Konsolen und IoT-Geräte, entlastet den Netzwerkprozessor und sorgt für einen stabilen Betrieb ohne Konflikte mit dem Web-Traffic.

Häufige Fragen (FAQ)

Wie aktiviere ich DoH im Browser?

In modernen Browsern (Chrome, Edge, Firefox, Yandex Browser) ist diese Funktion meist standardmäßig integriert. Öffnen Sie die Einstellungen für Datenschutz und Sicherheit, suchen Sie den Abschnitt "Sicherer DNS-Server" und aktivieren Sie die Option. Als Anbieter können Sie zum Beispiel Cloudflare (1.1.1.1) oder Google (8.8.8.8) auswählen.

Wie schalte ich DNS over TLS am Router ein?

Dazu benötigen Sie einen Router, der moderne Verschlüsselungsprotokolle unterstützt (z.B. Keenetic, MicroTik oder OpenWrt-Firmware). Öffnen Sie die Verwaltungskonsole, gehen Sie zu den Internetverbindungseinstellungen, aktivieren Sie die DNS-Verschlüsselung und tragen Sie die Adressen der gewünschten Server mit ihren Domainnamen zur TLS-Zertifikatsüberprüfung ein (z.B. dns.adguard-dns.com).

Können Anbieter DoH und DoT blockieren?

DoT kann sehr einfach blockiert werden - der Internetanbieter muss lediglich Port 853 im Backbone sperren, dann werden verschlüsselte DNS-Anfragen nicht mehr zugelassen. DoH gezielt zu blockieren ist nahezu unmöglich: Es läuft auf Port 443 zusammen mit Millionen anderer Websites, und dessen Sperrung würde das Internet für die meisten Nutzer lahmlegen.