DNS over HTTPS

DNS over HTTPS (kurz DoH) bezeichnet ein Verfahren, bei dem Anfragen des Domain Name System (DNS) über das verschlüsselte HTTPS geschickt werden. Die Namensauflösung wird damit in denselben Kanal verlegt, über den auch normale Webinhalte übertragen werden. Ziel ist unter anderem, es Dritten zu erschweren, DNS-Anfragen mitzulesen oder zu verändern, etwa im Rahmen eines Man-in-the-Middle-Angriffs.^[1]

Standardisiert wurde DoH im Oktober 2018 durch die Internet Engineering Task Force (IETF) als RFC 8484.^[2] Es ist damit einer von mehreren Ansätzen, DNS-Anfragen zu verschlüsseln; dazu gehören auch DNS over TLS (DoT) sowie das auf QUIC basierende DNS over QUIC (DoQ).^[3] Mit RFC 9230^[4] wurde später Oblivious DNS over HTTPS (ODoH) eingeführt, bei dem ein vorgeschalteter Proxy verhindern soll, dass ein einzelner Server gleichzeitig die IP-Adresse des Clients und den Inhalt seiner DNS-Anfragen kennt.^[4]

DNS over HTTPS wird inzwischen von verschiedenen öffentlichen DNS-Resolvern angeboten und von mehreren Webbrowsern und Betriebssystemen unterstützt.^[5][6] Befürworter sehen darin vor allem einen Gewinn für den Schutz der Privatsphäre bei der Namensauflösung,^[7] Kritiker verweisen dagegen auf mögliche Nachteile für Netzwerksicherheit, betriebliche Überwachung, Inhaltsfilter und auf eine zunehmende Konzentration von DNS-Diensten bei wenigen großen Anbietern.^[8]

DNS-Abfragen werden traditionell überwiegend unverschlüsselt übertragen, meist über das UDP, in bestimmten Fällen auch über TCP.^[9] Zur Verschlüsselung der Namensauflösung existieren mehrere Ansätze, die sich vor allem darin unterscheiden, über welches Transportprotokoll DNS übertragen wird und wie der Verkehr im Netzbetrieb behandelt werden kann.

DNS over HTTPS nutzt HTTPS als Transport und wird in der Praxis häufig über denselben Port wie normaler HTTPS-Webverkehr (Port 443) betrieben.^[10] Dadurch kann die Namensauflösung über etablierte Webinfrastruktur abgewickelt werden; zugleich lässt sich DoH-Verkehr in vielen Netzen nicht allein anhand einer dedizierten Portnummer vom übrigen HTTPS-Verkehr unterscheiden.^[10]

DNS over TLS (DoT) überträgt DNS über eine mit TLS gesicherte Verbindung und nutzt dafür standardmäßig Port 853.^[11] Im Unterschied zu DNS over HTTPS wird DNS dabei nicht in HTTP eingebettet, sondern als eigenes Protokoll über TLS transportiert.^[11]

DNS over QUIC (DoQ) überträgt DNS über QUIC und ist als RFC 9250 standardisiert. RFC 9250 legt dafür standardmäßig UDP-Port 853 fest (abweichende Ports sind per Vereinbarung möglich).^[12]

DNSCrypt verschlüsselt und authentifiziert DNS-Verkehr zwischen Client und Resolver über ein eigenes Protokoll. DNSCrypt ist – anders als DoH, DoT und DoQ – bislang nicht als IETF-Standard (RFC) veröffentlicht; eine Beschreibung existiert jedoch als IETF-Internet-Draft („Work in Progress“).^[13]

Der Browser Mozilla Firefox enthält seit Version 60 die Option, DoH zu aktivieren.^[14][15] Mozilla stellt in Zusammenarbeit mit Cloudflare einen DoH-Server bereit, der strenge Privatsphäre-Anforderungen erfüllen muss.^[16]

Für Chrome gibt es seit Version 78 ebenfalls eine experimentelle Einstellung zur Nutzung von DoH.^[17]

Unter Android gab es, anders als für DNS over TLS, bis Juli 2022 keine mitgelieferte Unterstützung für DNS over HTTPS auf Betriebssystemsebene. Diese wurde für Android ab Version 11 nachgereicht.^[18]

Die Benutzung von DNS over HTTPS ist per Eingabe in die Standard-Netzwerk-Dialog-Eingabemaske des User-Interfaces der regulären Windows-11-Version möglich. Dabei ist ebenfalls Discovery of Designated Resolvers (DDR) benutzbar und über Konsole konfigurierbar. DDR ist dabei für die automatische Konfiguration von DoH verantwortlich – ähnlich dem DHCP-Standard.^[19]

Seit MacOS Ventura und iOS 16 sind DoT sowie DoH mit dem DDR Encrypted Initial Kontakt standardmäßig benutzbar und ohne Konsoleneingriff in MacOS nutzbar.^[20]

• Domain Name System Security Extensions (DNSSEC)
• DNS-based Authentication of Named Entities (DANE)
• DNSCurve

• Monika Ermert: Experimentelles Internetprotokoll DNS over HTTPS. heise.de; abgerufen am 27. Juli 2018 
• Monika Ermert: IETF: DNS über HTTPS wird zum Standard. heise.de, 25. Juli 2018; abgerufen am 27. Juli 2018. 
• Fidler et al.: DNS over HTTPS (DoH) Considerations for Operator Networks. ietf.org, 8. März 2019, abgerufen am 9. März 2019. 
• Liste von DNS-over-HTTPS-Servern, -Werkzeugen und -Ressourcen auf GitHub

1. ↑ Richard Chirgwin: IETF protects privacy and helps net neutrality with DNS over HTTPS. The Register, 14. Dezember 2017, abgerufen am 26. Juli 2018. 
2. ↑ P. Hoffman, P. McManus: RFC: 8484 – DNS Queries over HTTPS (DoH). 19. Oktober 2018 (englisch).
3. ↑ Verbesserte Namensauflösung: IETF veröffentlicht RFC zum Internetprotokoll QUIC. In: Heise online. 18. Mai 2022, abgerufen am 25. November 2025. 
4. ↑ ^{a b} T. Pauly u. a.: RFC: 9230 – Oblivious DNS over HTTPS. 8. Juni 2022 (englisch).
5. ↑ DNS-over-HTTPS. Google Developers, abgerufen am 25. November 2025. 
6. ↑ Firefox continues push to bring DNS over HTTPS by default for US users. Mozilla, 25. Februar 2020, abgerufen am 25. November 2025. 
7. ↑ Mozilla aktiviert DNS-over-HTTPS für Firefox-Nutzer. In: Heise online. 9. September 2019, abgerufen am 25. November 2025. 
8. ↑ Mozilla aktiviert umstrittene Verschlüsselung in Firefox. In: Heise online. 19. März 2020, abgerufen am 25. November 2025. 
9. ↑ RFC: 1035 – Domain Names – Implementation and Specification. 1. November 1987 (englisch).
10. ↑ ^{a b} RFC: 8484 – DNS Queries over HTTPS (DoH). 19. Oktober 2018 (englisch).
11. ↑ ^{a b} RFC: 7858 – Specification for DNS over Transport Layer Security (TLS). 1. Mai 2016 (englisch).
12. ↑ RFC: 9250 – DNS over Dedicated QUIC Connections. 11. Mai 2022 (englisch).
13. ↑ The DNSCrypt Protocol (Internet-Draft). In: IETF Datatracker. Abgerufen am 20. Dezember 2025 (englisch). 
14. ↑ Jürgen Schmidt, Carsten Strotmann: Private Auskunft – DNS mit Privacy und Security vor dem Durchbruch. In: Heise online. 22. Juni 2018. Abgerufen am 25. Juli 2018.
15. ↑ Improving DNS Privacy in Firefox. In: mozilla.org. 1. Juni 2018, abgerufen am 26. Juli 2018. 
16. ↑ Cloudflare Resolver for Firefox. In: cloudflare.com. Abgerufen am 25. Juli 2018. 
17. ↑ Stefan Beiersmann: Chrome 78: Google testet DNS-over-HTTPS. In: zdnet.de. 23. Oktober 2019, abgerufen am 6. Dezember 2019 (deutsch). 
18. ↑ Matthew Maurer, Mike Yu: DNS-over-HTTP/3 in Android. In: googleblog.com. 19. Juli 2022, abgerufen am 7. September 2022 (englisch). 
19. ↑ Announcing experimental DDR in 1.1.1.1. In: blog.cloudflare.com. Abgerufen am 9. Mai 2023 (englisch). 
20. ↑ Qiaoyu (Joey) Deng: Improve DNS security for apps and servers. Apple Develeopers, abgerufen am 14. Mai 2023 (englisch).