Woran erkenne ich, ob 1.1.1.1 tatsächlich meine DNS-Abfragen verschlüsselt?
- Was bedeutet „verschlüsselte DNS-Abfragen“?
- Tools und Prüfungen im Browser
- Betriebssystem- und Netzwerkebene prüfen
- Befehle und konkrete Prüfungen
- Grenzen und Vertrauensfragen
Was bedeutet „verschlüsselte DNS-Abfragen“?
Verschlüsselte DNS-Abfragen verhindern, dass Dritte im Netzwerk (z. B. ISP, Wi‑Fi‑Betreiber) die Domain-Namen sehen, die Sie auflösen. Gängige Protokolle sind DNS-over-HTTPS (DoH) und DNS-over-TLS (DoT). 1.1.1.1 von Cloudflare bietet beide Varianten sowie einen eigenen Dienst (Warp), der zusätzlich VPN-ähnliche Funktionen haben kann. Ob Ihre Abfragen wirklich verschlüsselt sind, hängt davon ab, ob Ihr System oder Gerät die verschlüsselte Verbindung zu den 1.1.1.1‑Servern nutzt und ob keine Zwischenkomponenten die Verbindung umleiten oder entschlüsseln.
Tools und Prüfungen im Browser
Im Browser können Sie prüfen, ob DoH verwendet wird. Moderne Browser (Firefox, Chrome, Edge) zeigen in den Einstellungen an, ob „Sichere DNS“ bzw. „DNS über HTTPS“ aktiviert ist und welcher Anbieter konfiguriert ist. Zusätzlich können Sie eine Testseite wie cloudflare-dns.com/help oder 1.1.1.1/help aufrufen: diese Seiten geben aus, ob Ihre Verbindung zu 1.1.1.1 verschlüsselt ist und ob sie DNS über HTTPS/TLS nutzt. Wenn die Seite meldet, dass Ihre DNS-Abfragen verschlüsselt sind, ist das ein guter Hinweis, allerdings vertraut man dabei dem Ergebnis, das vom Dienst selbst kommt.
Betriebssystem- und Netzwerkebene prüfen
Auf Betriebssystemebene können Sie mit Tools wie tcpdump, Wireshark oder tshark beobachten, welche Protokolle und Ports verwendet werden. Sichtbare DNS-Anfragen per UDP/Port 53 deuten auf unverschlüsseltes DNS hin. Verbindungen zu Port 853 (TLS) oder HTTPS-Verbindungen (Port 443) mit Servernamen, die zu Cloudflare gehören, deuten auf DoT/DoH hin. Ein Beispiel: wenn Sie bei einer Auflösung den Netzwerkverkehr mitschneiden und nur TLS‑Handshakes zu 1.1.1.1 bzw. zu Cloudflare‑Domainnamen sehen, dann sind die Abfragen verschlüsselt. Achten Sie auf SNI/Servername und auf fehlende Klartext‑DNS-Pakete.
Befehle und konkrete Prüfungen
Auf Unix-artigen Systemen zeigt “ss” oder “netstat” aktive Verbindungen; “dig” standardmäßig nutzt UDP/53, mit speziellen Optionen können Sie DoT/DoH testen oder über lokale Resolver prüfen, ob die Konfiguration korrekt ist. Wireshark-Filter wie “dns” zeigen unverschlüsseltes DNS; wenn diese Pakete fehlen, aber TLS‑Verkehr zu Cloudflare besteht, ist das ein Indiz für verschlüsselte DNS. Beachten Sie, dass verschlüsselter Datenverkehr nicht automatisch bedeutet, dass keine Metadaten erkennbar sind (z. B. Verbindungsziele, Zeitpunkte, Volumen).
Grenzen und Vertrauensfragen
Selbst wenn die Verbindung zu 1.1.1.1 verschlüsselt ist, müssen Sie dem Endpunkt vertrauen. Cloudflare kann Meta‑Informationen und eventuell Protokollierungsdaten sammeln, je nach deren Datenschutzpolitik. Außerdem können Geräte oder Netzwerke DNS-Abfragen auf Betriebssystemebene manipulieren (z. B. lokale VPNs, Firmen‑Firewall mit TLS‑Interception). Um wirklich sicher zu sein, prüfen Sie Zertifikatdetails der TLS‑Verbindung und stellen Sie sicher, dass keine man‑in‑the‑middle‑TLS‑Interception stattfindet. Abschließend ist die Kombination aus browserbasiertem Status, externen Prüfseiten und Netzwerk‑Mitschnitt die zuverlässigste Methode, um zu erkennen, ob 1.1.1.1 Ihre DNS‑Abfragen tatsächlich verschlüsselt.