DNS over HTTPS einrichten: iPhone, Android & Windows Schritt für Schritt

Du bist im Café-WLAN, im Zug oder einfach zu Hause im eigenen Netzwerk – und trotzdem fühlt sich Internet manchmal „durchsichtig“ an. Nicht, weil jemand direkt deine verschlüsselten Inhalte sieht (HTTPS schützt die meisten Webseiten), sondern weil ein kleiner Baustein oft offen liegt: die DNS-Anfrage. Sie ist so etwas wie der „Telefonbuch-Schritt“ im Netz: Dein Gerät fragt, welche IP-Adresse zu einer Domain gehört, bevor es die Seite oder den Dienst überhaupt erreicht.

Unverschlüsselte DNS-Abfragen lassen sich in vielen Netzen relativ leicht mitlesen oder umleiten. Das muss nicht automatisch Missbrauch bedeuten, kann aber zu Tracking, falschen Umleitungen oder schlicht unnötiger Einsicht in deine Surf- und App-Gewohnheiten führen. Moderne Systeme bieten deshalb verschlüsseltes DNS an – typischerweise als DNS over HTTPS (DoH) oder DNS over TLS (DoT).

Der praktische Nutzen: Du änderst an deinem Gerät eine Einstellung (oder installierst ein Profil), und ab dann werden DNS-Abfragen deutlich besser gegen Mitlesen und Manipulation geschützt. Wichtig ist nur: Nicht jede Plattform nennt das gleich, und je nach Gerät gibt es unterschiedliche Wege. Genau darum geht es jetzt – klar, Schritt für Schritt, ohne Rätselraten in den Menüs.

DNS steht für „Domain Name System“. Es übersetzt Namen wie beispiel.de in Zahlenadressen (IP), damit dein Gerät weiß, wohin es sich verbinden soll. Das passiert ständig: beim Öffnen einer Website, beim Starten einer App, bei Updates und Push-Diensten.

DNS over HTTPS (DoH) verschlüsselt diese DNS-Abfragen, indem es sie wie normalen Webverkehr über HTTPS überträgt (typischerweise über Port 443). DNS over TLS (DoT) macht etwas Ähnliches, nutzt dafür aber eine eigene Transportart über TLS (typischerweise Port 853). In der Praxis ist beides „verschlüsseltes DNS“ – nur der Weg ist unterschiedlich.

Verschlüsseltes DNS ist kein Ersatz für HTTPS oder ein VPN – es ist ein zusätzlicher Schutz für den Moment, bevor die Verbindung zu einer Website oder einem Dienst überhaupt steht.

Wichtig für die Einordnung: DoH/DoT schützt die DNS-Abfrage selbst. Es verhindert nicht, dass eine App weiterhin Daten an ihre Server sendet, und es ändert auch nicht automatisch, welche Inhalte du online preisgibst. Es reduziert aber die Menge an „Nebeninformationen“, die in Netzwerken sichtbar werden können.

Auch die Bedienung unterscheidet sich: Android nennt es meist Private DNS (DoT). Windows 11 bietet DoH direkt in den Netzwerkeinstellungen. Auf dem iPhone wird verschlüsseltes DNS häufig über ein Konfigurationsprofil (eine kleine Einstellungsdatei) oder über eine App/Verwaltungslösung aktiviert.

Bevor du umstellst, lohnt sich ein kurzer Check. Verschlüsseltes DNS ist normalerweise schnell aktiviert – Probleme entstehen eher durch Netzwerkregeln, Firmenrichtlinien oder weil man den falschen „Typ“ (DoH vs. DoT) erwartet.

Diese Punkte helfen dir, sauber zu starten:

• Geräte-Version prüfen: Android braucht in der Regel Android 9 oder neuer für „Private DNS“. iPhone/iPad unterstützt verschlüsseltes DNS systemweit ab iOS/iPadOS 14 über Profile/Verwaltung. Windows 11 hat DoH in den Netzwerkeinstellungen.
• Notieren, was aktuell eingestellt ist: Wenn du bereits einen festen DNS-Server nutzt (z. B. vom Router oder einem Provider), notiere dir die Werte. So kommst du leicht zurück.
• Entscheide dich für einen DNS-Anbieter: Häufig genutzt werden z. B. Cloudflare oder Quad9. Wichtig ist weniger „der beste“, sondern: Vertrauenswürdigkeit, Stabilität, passende Funktionen (z. B. Sicherheitsfilter oder nicht) und gute Unterstützung auf deinen Geräten.
• Netzwerkumgebung bedenken: In Schul- oder Firmennetzen können Regeln verschlüsseltes DNS einschränken oder erzwingen. Wenn Einstellungen ausgegraut sind, steckt oft eine Richtlinie dahinter.
• Kurz testen, ob alles läuft: Öffne vor der Umstellung eine Website und eine App, die du häufig nutzt. Nach der Umstellung machst du denselben Test – so merkst du schnell, ob etwas hakt.

Wenn du dich tiefer mit Netzwerk-Privatsphäre beschäftigen willst: Auf TechZeitGeist passen oft ergänzende HowTos wie weitere Anleitungen rund um Sicherheit und Netzwerkeinstellungen. (Hinweis: Dieser Link führt zur Startseite, falls du dort direkt suchen möchtest.)

Jetzt kommt der praktische Teil. Such dir die Plattform, die du nutzen willst, und arbeite die Schritte in Ruhe durch. Wenn du mehrere Geräte hast, lohnt es sich, mit dem wichtigsten anzufangen (z. B. Smartphone) und danach den PC.

1. Windows 11: DoH in den DNS-Einstellungen aktivieren

   Öffne Einstellungen > Netzwerk und Internet. Wähle WLAN oder Ethernet (je nachdem, wie du verbunden bist). Suche die Option zur DNS-Serverzuweisung und gehe auf Bearbeiten. Stelle auf Manuell, aktiviere IPv4 (und optional IPv6, falls du es nutzt), trage einen bevorzugten und alternativen DNS-Server ein und setze bei DNS-Verschlüsselung die Auswahl auf Nur verschlüsselt (DNS over HTTPS). Speichern, danach kurz Verbindung trennen/neu verbinden oder den PC neu starten.

2. Android: „Private DNS“ (DoT) einschalten

   Öffne Einstellungen > Netzwerk und Internet (bei manchen Herstellern heißt es ähnlich) und suche nach Private DNS. Wenn du es nicht findest, nutze die Suche in den Einstellungen und tippe „Private DNS“ ein. Wähle Privates DNS und dann Privater DNS-Anbieter-Hostname. Trage den Hostnamen deines Anbieters ein (z. B. für Google Public DNS wird in der offiziellen Doku dns.google genannt). Bestätigen und kurz prüfen, ob sich Webseiten normal öffnen.

3. iPhone/iPad: Verschlüsseltes DNS über Profil aktivieren

   Auf iOS/iPadOS wird verschlüsseltes DNS häufig über ein Konfigurationsprofil aktiviert. Das ist eine kleine Datei, die DNS-Server und Protokoll (DoH oder DoT) festlegt. Du bekommst solche Profile oft direkt von DNS-Anbietern oder über Verwaltungsumgebungen (MDM). Installiere das Profil nur aus einer Quelle, der du vertraust. Nach der Installation findest du die Einstellung typischerweise unter Einstellungen > Allgemein > VPN & Geräteverwaltung (oder Profile) und dort bei den DNS-Optionen. Wähle das gewünschte Profil aus, damit es aktiv ist.

4. Schnellcheck nach der Umstellung

   Öffne jetzt wieder die Website und die App, die du vorab getestet hast. Wenn etwas nicht lädt, lies direkt im nächsten Kapitel bei der Fehlerbehebung weiter. Für eine technische Kontrolle kannst du zudem die Status-/Hilfeseite mancher Anbieter nutzen (zum Beispiel bieten einige Resolver eigene „Help“-Seiten an, die anzeigen, ob verschlüsseltes DNS verwendet wird). Nutze dafür am besten die Quellenlinks am Ende, damit du nicht auf unseriöse Testseiten gerätst.

Wenn du Windows 11 nutzt und dein Ziel vor allem „weniger Tracking im Browser“ ist: Viele Browser können zusätzlich eigenes DoH nutzen. Das kann gut sein, kann aber auch zu doppelten Ebenen führen (System und Browser). Für einen sauberen Start ist es oft sinnvoll, erst das System korrekt einzustellen und danach im Browser zu prüfen, ob er sich daran hält.

In den meisten Fällen funktioniert verschlüsseltes DNS sofort. Wenn nicht, liegt es häufig nicht an „kaputten“ DNS-Servern, sondern an einer Blockade im Netz, an einem Tippfehler (Android-Hostname) oder an Richtlinien auf verwalteten Geräten.

Typische Probleme – und was du tun kannst:

• Nach der Umstellung lädt nichts mehr: Prüfe zuerst, ob du dich vertippt hast (Android: Provider-Hostname). Bei Windows kontrolliere, ob du gültige DNS-IP-Adressen eingetragen hast. Setze testweise kurz auf „automatisch“ zurück – funktioniert es dann wieder, liegt der Fehler sehr wahrscheinlich in der neuen DNS-Konfiguration.
• Windows: Option für DoH fehlt oder ist ausgegraut: Das kann an Gerätemanagement oder Richtlinien liegen (z. B. Arbeits-/Schulgerät). In solchen Fällen hilft oft nur: mit dem Admin klären oder auf einem privaten Gerät testen. Auch ein Blick in die Microsoft-Dokumentation zu DoH und Richtlinien lohnt sich (siehe Quellen).
• Android: „Kann keine Verbindung herstellen“ bei Private DNS: Manche Netze blocken DoT (Port 853). Dann kannst du auf „Automatisch“ umstellen oder – falls du die Wahl hast – auf einem anderen Gerät/Browser DoH nutzen. Alternativ: In Mobilfunknetzen klappt es oft, wenn es im lokalen WLAN nicht geht.
• iPhone: Profil installiert, aber unklar ob aktiv: Geh noch einmal in den Profil-/DNS-Bereich und prüfe, ob das Profil wirklich ausgewählt/aktiviert ist. Entferne Profile, die du nicht mehr brauchst, damit sich nichts überschneidet.

Varianten, die du kennen solltest:

• Cloudflare DoH-Endpunkt: Cloudflare dokumentiert DoH z. B. mit dem Endpunkt https://cloudflare-dns.com/dns-query. Das ist vor allem dann relevant, wenn du Software nutzt, die einen DoH-„Template“-Link verlangt (Windows kann das z. B. per PowerShell für eigene Server).
• Quad9 DoH-Endpunkt: Quad9 nennt u. a. https://dns.quad9.net/dns-query als DoH-Adresse. Quad9 bietet je nach Variante unterschiedliche Funktionen; lies vorab die Beschreibung in der Quelle, damit du weißt, welche Variante du auswählst.
• DoH vs. DoT im Alltag: Android setzt mit „Private DNS“ auf DoT. Windows nutzt DoH. Beides ist verschlüsselt, aber im Fehlerfall kann es helfen zu wissen, welches Protokoll gerade blockiert wird.

Datenschutz-Hinweis in Alltagssprache: Mit verschlüsseltem DNS sieht der DNS-Anbieter weiterhin, welche Domains dein Gerät abfragt. Du tauschst also oft den „Beobachter“ (z. B. Netzwerkbetreiber) gegen einen DNS-Dienst. Deshalb ist es sinnvoll, einen Anbieter zu wählen, dessen Grundsätze du nachvollziehen kannst, und nicht ständig zwischen vielen Resolvern zu springen.

Verschlüsseltes DNS ist eine der pragmatischsten Einstellungen, die du mit wenig Aufwand nachrüsten kannst: ein paar Minuten in den Systemoptionen – und ein Teil deiner täglichen Hintergrund-Kommunikation wird deutlich schwerer mitzulesen oder umzuleiten. Windows 11 macht es über DoH direkt in den DNS-Optionen zugänglich. Android nutzt mit „Private DNS“ DoT über einen Provider-Hostname. Auf dem iPhone führt der Weg meist über ein vertrauenswürdiges Konfigurationsprofil, das du in den DNS-Einstellungen aktivierst.

Am wichtigsten ist, dass du nach der Umstellung kurz testest und bei Problemen weißt, wo du ansetzen kannst: Tippfehler, blockierte Ports oder Richtlinien auf verwalteten Geräten sind die häufigsten Ursachen. Wenn alles läuft, hast du im Alltag spürbar mehr Robustheit gegen neugierige Netzwerke – ohne dass du dein Surfverhalten umstellen musst.