Ressourcen
Funktionsübersicht
DoH vs. DoT: Was stoppt DNS-Leaks wirklich? Wir haben beide getestet
bonnie
2026-02-10 04:09
Viele stoßen bei einem DNS-Leak-Test auf eine knifflige Frage: Ist DoH (DNS over HTTPS) oder DoT (DNS over TLS) tatsächlich sicherer?
Viele Nutzer gehen davon aus, dass mit aktiviertem verschlüsseltem DNS das Problem der DNS-Leaks vollständig gelöst ist—doch so einfach ist es nicht.
Heute erläutern wir die Unterschiede zwischen DoH und DoT beim Schutz vor DNS-Leaks und erklären, warum verschlüsseltes DNS allein dich nicht vollständig anonym macht.
1. Was ist ein DNS-Leak? Warum sind so viele Nutzer betroffen
DNS funktioniert wie das „Telefonbuch“ des Internets. Wenn du eine Website aufrufst, fragt dein Gerät zuerst einen DNS-Server nach der IP-Adresse der Domain ab und stellt erst danach die eigentliche Verbindung her.
Wenn dieser Prozess nicht geschützt ist, kann deine reale Netzwerkomgebung offengelegt werden. Viele glauben, dass das Ändern der IP ausreicht, doch DNS-Informationen sind ebenso wichtig—deshalb sind regelmäßige DNS-Leak-Tests unerlässlich.
2. Was sind DoH und DoT? Das Prinzip ist einfach
Sowohl DoH als auch DoT verfolgen dasselbe Ziel: DNS-Abfragen, die ursprünglich im Klartext gesendet wurden, zu verschlüsseln und so Überwachung oder Manipulation zu verhindern.
Ihr Hauptunterschied liegt in der Übertragungsmethode, was zu unterschiedlichen Nutzererfahrungen führt.
1. DoH (DNS over HTTPS)
DoH kapselt DNS-Anfragen innerhalb von HTTPS-Verkehr und nutzt den üblichen Port 443. Dadurch sehen DNS-Abfragen wie normaler Web-Traffic aus und sind schwerer separat zu erkennen oder zu blockieren.
Der Vorteil ist die hohe Kompatibilität—es funktioniert in den meisten Netzwerken, und gängige Browser haben bereits integrierte DoH-Unterstützung.
Der Nachteil ist eine etwas komplexere Fehlersuche, und in manchen Netzwerken kann die Latenz etwas höher sein, was im Alltag jedoch meist nicht auffällt.
2. DoT (DNS over TLS)
• DoT verwendet einen dedizierten verschlüsselten Kanal speziell für DNS und läuft typischerweise über Port 853. Im Vergleich zu DoH ist die Struktur einfacher und bietet theoretisch eine leicht geringere Latenz.
• Da der Port jedoch fest ist, können Netzwerkgeräte den Verkehr leicht als DNS identifizieren. Einige Firmennetze oder öffentliche WLAN-Hotspots blockieren diesen Port, was eine häufige Einschränkung von DoT ist.
3. Praxisvergleich: DoH vs. DoT beim Schutz vor DNS-Leaks
Ich habe drei unterschiedliche Umgebungen mit gängigen DNS-Leak-Tests geprüft. Die Ergebnisse sind unten dargestellt:
Aus der Tabelle lässt sich erkennen:
| Testszenario | DNS-Verschlüsselung | Lokales DNS-Leak | Hinweise |
|---|---|---|---|
| Lokales Netzwerk | DoT | Nein | Alle Anfragen nutzen verschlüsseltes DNS, stabile Absicherung |
| VPN-Umgebung | DoT | Teilweise | System-DNS kollidiert mit VPN, gemischte DNS-Anfragen |
| Browser-Proxy | DoH | Nein | Alles DNS über DoH-Anbieter, stabilerer Schutz |
• In einer reinen lokalen Umgebung kann DoT Klartext-DNS-Leaks wirksam verhindern.
• In VPN-Szenarien kann DoT DNS-Leaks nicht immer vollständig lösen.
• Auf Browser-Ebene bietet DoH den stabileren Schutz vor DNS-Leaks.
4. Wichtiger Punkt: DNS-Sicherheit ≠ Gesamtsicherheit der Umgebung
Viele Nutzer sehen ein sauberes Ergebnis beim DNS-Leak-Test und gehen davon aus, dass alles sicher ist. Führen sie jedoch einen Browser Fingerprint-Test durch, treten oft mehrere Probleme auf, etwa:
• Zeitzone passt nicht zum Proxy-Standort
• WebRTC legt die reale IP offen
• Systemsprache stimmt nicht mit der Netzwerkumgebung überein
Das zeigt eine wichtige Tatsache: Auch ohne DNS-Leaks kann ein Browser Fingerprint weiterhin deine echte Identität preisgeben.
Daher wird beim Schutz vor DNS-Leaks empfohlen, Tools wie den ToDetect Fingerprint-Checker zu verwenden, um die gesamte Umgebung zu prüfen. Er analysiert nicht nur DNS, sondern auch die Fingerprint-Konsistenz und das Gesamtrisiko.
5. Wie du zwischen DoH und DoT wählst
Basierend auf Praxistests hier eine einfache Richtlinie:
| Szenario | Empfohlene Verschlüsselung | Grund |
|---|---|---|
| Browser-Proxy, grenzüberschreitender E-Commerce, Multi-Account-Nutzung | DoH | Geringeres DNS-Leak-Risiko, bessere Kompatibilität, schwerer zu erkennen |
| Heimrouter oder systemweites DNS | DoT | Niedrigere Latenz, einfachere Struktur, leichtere zentrale Steuerung |
Wenn du Browser-Proxys nutzt, grenzüberschreitende E-Commerce-Konten verwaltest oder häufig öffentliche Netzwerke verwendest, ist DoH in der Regel stabiler.
Wenn du ein Heimnetz konfigurierst, DNS auf Router-Ebene einsetzt oder nur systemweite Verschlüsselung benötigst, ist DoT ebenfalls eine solide Option mit geringerer Latenz und einfacher Struktur.
6. Praxisfazit: So reduzierst du DNS-Leak Risiken
Basierend auf wiederholten Tests und Praxiserfahrung kannst du den Schutz vor DNS-Leaks mit folgenden Schritten verbessern:
Erstens: Jedes Mal, wenn du VPN-Knoten, Proxy-Einstellungen oder Browser-Umgebungen änderst, führe erneut einen DNS-Leak-Test durch, um sicherzustellen, dass keine ungewöhnlichen Einträge auftauchen.
Zweitens: Aktiviere DoH in deinem Browser, damit DNS-Anfragen über einen verschlüsselten Kanal laufen und Konflikte zwischen System-DNS und Proxys vermieden werden.
Schließlich: Prüfe nicht nur DNS—kombiniere es immer mit einem Browser Fingerprint-Test. Mit dem ToDetect Fingerprint-Tool kannst du überprüfen, ob IP, DNS, Zeitzone, Sprache und andere Parameter konsistent sind.
Fazit
Was sicherer ist, hängt von deinem Szenario ab: DoH ist besser für Proxys auf Browser-Ebene und grenzüberschreitende Vorgänge. DoT eignet sich eher für Verschlüsselung auf System- oder Router-Ebene mit geringerer Latenz.
Ignoriere außerdem keine Leaks durch Browser Fingerprint. Mit dem ToDetect Fingerprint-Checker kannst du IP, DNS, Zeitzone, Sprache und andere Parameter gemeinsam prüfen—für stärkeren Datenschutz.
Erst wenn all diese Elemente korrekt konfiguriert sind, kann deine Netzwerkumgebung als wirklich „sauber“ gelten. Wenn du nur deine IP prüfst, aber DNS oder Fingerprint nie verifizierst, wurdest du möglicherweise bereits identifiziert, ohne es zu merken.
AD
