Vergleich der DNS-Verschlüsselungsprotokolle: DoT, DoH, DoQ

Begriffsübersicht

• Plain DNS: Klartext-DNS, verwendet standardmäßig UDP/53, bei Bedarf TCP/53 (z. B. wenn die Antwort abgeschnitten wurde oder bei Zonentransfers).
• DoT: DNS over TLS, verwendet TCP über TLS, Standardport 853 (RFC 7858/8310).
• DoH: DNS over HTTPS, basierend auf HTTPS (HTTP/2 oder HTTP/3), Standardport 443 (RFC 8484).
• DoQ: DNS over QUIC, basierend auf QUIC + TLS 1.3, Standardport UDP/853 (RFC 9250, von der IANA für 853/udp zugewiesen).

Schichtenbeziehungen (Vereinfachtes TCP/IP-Modell)

• Anwendungsschicht: HTTP, HTTPS, DNS (DoH ist eine Kapselung auf der HTTPS-Anwendungsschicht)
• Sicherheitsschicht: TLS (stellt Verschlüsselung für TCP oder QUIC bereit)
• Transportschicht: TCP, UDP, QUIC
• Netzwerkschicht: IP
• Sicherungsschicht: Ethernet usw.
• Physikalische Schicht: Twisted-Pair/Glasfaser/Drahtlos usw.

Wichtige Punkte

• Plain DNS arbeitet über UDP/TCP und ist unverschlüsselt.
• DoT = TCP + TLS + DNS (dedizierter Port 853).
• DoH = TCP/QUIC + TLS + HTTP(S) + DNS (nutzt Port 443, teilt sich diesen mit normalem HTTPS).
• DoQ = QUIC + TLS 1.3 + DNS (dedizierter Port UDP/853).

graph TB
    subgraph Anwendungsschicht
        A[HTTP]
        A2[HTTPS]
        C[DNS]
        D[DoH DNS over HTTPS]
    end

    subgraph Sicherheitsschicht
        E[TLS]
    end

    subgraph Transportschicht
        F[TCP]
        G[UDP]
        H[QUIC]
    end

    subgraph Netzwerkschicht
        I[IP]
    end

    subgraph Sicherungsschicht
        J[Ethernet]
    end

    subgraph Physikalische Schicht
        K[Twisted-Pair/Glasfaser/Drahtlos]
    end

    A2 --> F
    A2 --> H
    A --> F
    C --> F
    C --> G
    D --> A2
    E --> F
    E --> H
    F --> I
    G --> I
    H --> I
    I --> J
    J --> K

    style D fill:#e1f5fe
    style E fill:#fff3e0

Grundlagen und Korrekturen

• Plain DNS nutzt standardmäßig UDP/53, wechselt aber bei Antwortabschnitten (TC-Bit) oder wenn eine zuverlässige Übertragung erforderlich ist zu TCP/53.
• DoT baut einen TLS-Tunnel über TCP auf, um DNS-Nachrichten zu übertragen, Standardport 853; Persistente Verbindungen können wiederverwendet werden, um die Handshake-Overhead zu reduzieren.
• DoH behandelt DNS als eine Ressource von HTTPS (application/dns-message), verwendet meist HTTP/2 oder HTTP/3, Port 443, und lässt sich leicht mit normalem HTTPS verwechseln.
• DoQ nutzt direkt QUIC (basierend auf UDP) für DNS, bietet den Vorteil niedriger Latenz und die Vermeidung von Head-of-Line-Blocking, aber das Ökosystem wächst noch.
• Pauschalaussagen wie „QUIC ist immer X% schneller als TCP“ sind nicht präzise; die tatsächliche Leistung hängt vom Netzwerkzustand (Paketverlust, Jitter, RTT), der Verbindungswiederverwendung, Implementierungsdetails und der Serverbereitstellung ab.
• DoH ist nicht unbedingt „langsamer/schneller“, nur weil DNS in HTTP verpackt ist; die Leistung hängt von Verbindungswiederverwendung, Netzwerkqualität und Implementierung ab; oft ist die Erfahrung mit DoH/3 ähnlich wie mit DoT oder sogar besser.
• DoT kann SNI zur Überprüfung des Zertifikatshostnamens verwenden; DoH verlässt sich auf die reguläre Zertifikatsprüfung von HTTPS und Hostnamenübereinstimmung.
• Verschlüsseltes DNS verhindert nur Abhören und Manipulation auf der Übertragungsstrecke; es bedeutet nicht „vollständige Anonymität“. Resolver können Abfragen dennoch protokollieren; wählen Sie vertrauenswürdige Anbieter und lesen Sie die Datenschutzrichtlinien.

graph TD
    subgraph DNS-Familie
        A[Plain DNS UDP/TCP + DNS]

        subgraph Verschlüsseltes DNS
            B[DoT TCP + TLS + DNS]
            C[DoH HTTP/2,3 + TLS + DNS]
            D[DoQ QUIC + TLS 1.3 + DNS]
        end

        subgraph Transportbasis
            E[TCP]
            F[UDP]
            G[QUIC]
        end
    end

    A --> B
    A --> C
    A --> D

    B --> E
    C --> E
    C --> G
    D --> G
    A --> F

    style A fill:#f3e5f5
    style B fill:#e8f5e8
    style C fill:#e3f2fd
    style D fill:#fff3e0

Vergleichsübersicht

Leistung und Latenz

• Verbindungswiederverwendung: DoT/DoH/DoQ können Persistente Verbindungen wiederverwenden, um Handshake-Kosten zu senken; DoH/2, DoH/3 und DoQ können zudem Anfragen innerhalb einer einzigen Verbindung multiplexen.
• Head-of-Line-Blocking: TCP hat das Problem des „Head-of-Line-Blocking“ auf Anwendungsebene; HTTP/2 mildert dies über Multiplexing auf TCP ab, ist aber immer noch von Paketverlusten auf TCP-Ebene betroffen. QUIC (DoH/3, DoQ) vermeidet Head-of-Line-Blocking auf der Transportebene und ist daher besser für Netzwerke mit hohem Paketverlust oder Mobilfunknetze geeignet.
• Latenz des ersten Pakets: Bei der ersten Verbindung benötigt DoT einen TCP+TLS-Handshake; DoH/2 ist ähnlich; DoH/3/DoQ basieren auf QUIC, was Wiederverbindungen und Migrationen beschleunigt. Unter langfristiger Last hängen die Unterschiede mehr von der Implementierung und den Netzwerkbedingungen ab.
• Erreichbarkeit: DoH verwendet Port 443 und ist am schwersten durch einfache Portblockaden zu stoppen; DoT verwendet Port 853 und wird oft pauschal blockiert; DoQ verwendet 853/UDP, was derzeit ebenfalls blockiert oder nicht freigegeben sein kann.

Client- und Systemunterstützung

• Browser: Die Chromium-Familie und Firefox haben DoH standardmäßig integriert (können automatisch auf Resolver upgraden, die DoH unterstützen, oder integrierte Anbieterlisten nutzen).
• Windows: Windows 11 unterstützt DoH nativ.
• Android: Android 9+ bietet „Private DNS“ (systemweites DoT). Die Abdeckung für systemweites DoH hängt von der Version/Hersteller ab.
• Apple-Plattformen: iOS 14+/macOS 11+ unterstützen DoT und DoH über Konfigurationsprofile oder NetworkExtension.

Empfehlungen zur Bereitstellung und Auswahl

• Reguläre/Eingeschränkte Netzwerke (z. B. öffentliches WLAN, wenn einfache Blockaden umgangen werden müssen): Priorisieren Sie DoH (Port 443), aktivieren Sie wenn möglich HTTP/3.
• Systemweiter einheitlicher Ausgang (Router, Gateway, Android Privat DNS): Priorisieren Sie DoT (853), fügen Sie bei Bedarf DoH als Fallback hinzu, wenn das Netzwerk dies zulässt.
• Netzwerke mit hohem Paketverlust/Mobilfunknetze: Priorisieren Sie DoH/3 oder DoQ mit QUIC-Unterstützung (abhängig von der Unterstützung durch Resolver und Client).
• Unternehmen/Compliance-Szenarien: Wählen Sie gemäß Richtlinie (DoH kann in bestehende HTTPS-Infrastruktur integriert werden; DoT erleichtert die Trennung der DNS-Kontrollebene).

Zusammenfassung

• Priorisieren Sie DoH (443, hohe Durchdringung), aktivieren Sie HTTP/3, falls verfügbar.
• Wenn eine systemweite Einheitlichkeit erforderlich ist: Priorisieren Sie DoT (853) + Persistente Verbindungen, mit Fallback auf DoH (443) falls nötig.
• Wenn sowohl Resolver als auch Client es unterstützen: Versuchen Sie DoQ (Erfahrung auf Mobilfunknetzen oft besser).

Referenzstandards

• RFC 7858, RFC 8310 (DNS over TLS)
• RFC 8484 (DNS over HTTPS)
• RFC 9250 (DNS over QUIC)

DNS-Dienst-Empfehlungen

• NullPrivate DNS: https://www.nullprivate.com unterstützt DoT, DoH (unterstützt HTTP3) und bietet nativen Support für Werbeblockierung und Traffic-Aufteilung.
• Selbst gehostete Version: https://github.com/NullPrivate/NullPrivate

• ←Zurück
• Weiter→