Ist DNSCrypt besser als DNS über HTTPS?

Keines von beiden ist unbedingt besser. DoH ist der umfassendere Standard, wird in Browsern ausgeliefert und überlebt dank der Ausführung auf 443 die Portblockierung. DNSCrypt bietet einen geringeren Protokoll-Overhead, native Unterstützung für anonymisierte Relays und einen umfangreicheren Referenz-Client. Wenn Sie heute anonymisiertes DNS mit einer einzigen Konfigurationsänderung wünschen, ist DNSCrypt immer noch der sauberste Weg.

Verlangsamt die Verwendung von DNSCrypt mein Surfen?

Kaum. Die Authentifizierung fügt Dutzende Mikrosekunden Kryptoarbeit und einen zusätzlichen UDP-Roundtrip bei der ersten Abfrage einer Sitzung hinzu. Sobald das Resolver-Zertifikat zwischengespeichert ist, haben Abfragen ungefähr die gleiche Latenz wie einfaches DNS. Anonymisiertes DNSCrypt fügt einen weiteren Hop hinzu, der einige Millisekunden hinzufügt.

Kann mein ISP meine DNS-Anfragen weiterhin mit DNSCrypt sehen?

Nein, nicht der Inhalt. Sie sehen verschlüsseltes UDP oder TCP zur IP des Resolvers. Sie können immer noch sehen, mit welchem Resolver Sie sprechen. Wenn das Ziel darin besteht, sowohl die Abfragen als auch die Wahl des Resolvers zu verbergen, führen Sie DNSCrypt über ein VPN aus.

Verhindert DNSCrypt DNS-Hijacking?

Ja für On-Path-Hijacking – das Resolver-Zertifikat wird vom Client überprüft, sodass eingeschleuste oder gefälschte Antworten erkannt und verworfen werden. Es bietet keinen Schutz vor einem feindlichen chosen -Resolver oder einem Domain-Registrar-Hijack auf der autorisierenden Seite; Die vollständige Angriffsfläche finden Sie in unserem DNS-Hijacking-Artikel .

Wird DNSCrypt noch weiterentwickelt?

Ja. dnscrypt-proxy wird regelmäßig veröffentlicht und die anonymisierte Relay-Funktion des Protokolls wurde erst 2019 hinzugefügt. Es ist nicht mehr die einzige verschlüsselte DNS-Option, aber die Betreuer verbessern sie weiterhin für die Benutzerbasis, die darauf angewiesen ist.

DNSCrypt: Das ursprüngliche verschlüsselte DNS-Protokoll und warum es immer noch wichtig ist

Bevor DNS über HTTPS verschlüsseltes DNS zum Mainstream machte, war DNSCrypt die einzige weit verbreitete Option, um die Namensauflösung privat zu halten. Es wird immer noch mit pfSense, dem DoH-Proxy von Pi-hole, und mehreren Linux-Distributionen ausgeliefert, und die Designoptionen des Protokolls – anonymisierte Relays, Rotation von Serverzertifikaten, kein TLS-Overhead – machen es auch jetzt noch interessant.

Der vollständige Artikeltext ist unten in englischer Sprache aufgeführt.

DNSCrypt wurde 2011 vom OpenDNS-Ingenieur Frank Denis entwickelt, um DNS-Abfragen zwischen einem Client und einem Resolver zu verschlüsseln und zu authentifizieren. Das einfache DNS-Protokoll von 1983 verfügt über keinerlei Authentifizierung: Eine Anfrage ist ein UDP-Paket, und jedes Gerät auf dem Pfad kann es lesen, die Antwort ändern oder eine Antwort fälschen. DNSCrypt hat beide Probleme Jahre vor der Existenz von DNS über HTTPS behoben. Anschließend verschlüsselt der Client jede Abfrage mit X25519 + Der Resolver entschlüsselt, sucht nach der Antwort, verschlüsselt die Antwort und gibt sie zurück. Das flüchtige Zertifikat rotiert häufig, sodass eine Schlüsselkompromittierung nur begrenzte Auswirkungen hat.

DNSCrypt vs. DoH vs. DoT

Alle drei verschlüsseln die Abfrage. Die Unterschiede sind pragmatisch:

DNSCrypt: benutzerdefiniertes Protokoll, geringer Overhead, unterstützt anonymisierte Relays sofort, erfordert einen DNSCrypt-fähigen Client.
DNS über TLS (DoT): Standard-TLS auf Port 853, transparent für Netzwerke, aber durch Schließen leicht blockiert port.
DNS über HTTPS (DoH): -Anfragen über HTTPS an Port 443, nicht vom Webverkehr zu unterscheiden, schwer zu blockieren, ohne das Internet zu unterbrechen. DNSCrypt bleibt aufgrund von Betriebsfunktionen bestehen, die DoH nicht hat, insbesondere anonymisierte Relays.
XPLZ32 Innenschicht für den Resolver. Das Relay entschlüsselt die äußere Schicht, sieht nur die Adresse des Resolvers (nicht die Frage) und leitet den inneren Chiffretext weiter. Der Resolver entschlüsselt die innere Schicht, sieht die Frage, aber nicht die ursprüngliche Client-IP. Solange das Relay und der Resolver von verschiedenen Parteien betrieben werden und nicht miteinander zusammenarbeiten, kann keiner allein den Benutzer mit der Abfrage verknüpfen.
Dies ist die gleiche Datenschutzeigenschaft wie Apples XPLZ39 weltweit.
Die Client-Landschaft
dnscrypt-proxy ist der Referenz-Client – eine einzelne Go-Binärdatei, die unter Linux, macOS, Windows, OpenBSD und FreeBSD läuft. Es akzeptiert einfaches DNS auf localhost, leitet über DNSCrypt oder DoH an einen konfigurierten Resolver weiter, unterstützt Filterung, Blockierung, Abfrageprotokollierung und Lastverteilung über Resolver hinweg. pfSense und OPNsense versenden es als Paket. Pi-hole unterstützt DNSCrypt über dnscrypt-proxy als Upstream. Die verwaltete Liste befindet sich im dnscrypt-resolvers-Repository.
Was DNSCrypt nicht löst
Das Verschlüsseln von DNS macht Ihr Surfen nicht privat. Das Ziel jeder HTTPS-Verbindung ist für das Netzwerk im Feld TLS ServerName Indication (SNI) sichtbar – weshalb Encrypted Client Hello wichtig ist. DNSCrypt hilft auch nicht gegen einen böswilligen Resolver: Wenn Sie dnscrypt-proxy auf einen Resolver verweisen, der alles protokolliert, hat der Resolver immer noch Ihre Abfragen. Das Protokoll verhindert lediglich, dass Beobachter auf dem Pfad sie sehen.
Wo DNSCrypt hineinpasst 2026 Für Leute, die ihre eigene Infrastruktur betreiben – Homelabs, kleine Unternehmen, datenschutzorientierte Router – ist dnscrypt-proxy immer noch die flexibelste Wahl. Die Kombination aus anonymisierten Relays, einfachem Lastausgleich und offline überprüfbaren Resolver-Zertifikaten ist kaum zu übertreffen.

Häufig gestellte Fragen

Ist DNSCrypt besser als DNS über HTTPS?: Keines von beiden ist unbedingt besser. DoH ist der umfassendere Standard, wird in Browsern ausgeliefert und überlebt dank der Ausführung auf 443 die Portblockierung. DNSCrypt bietet einen geringeren Protokoll-Overhead, native Unterstützung für anonymisierte Relays und einen umfangreicheren Referenz-Client. Wenn Sie heute anonymisiertes DNS mit einer einzigen Konfigurationsänderung wünschen, ist DNSCrypt immer noch der sauberste Weg.
Verlangsamt die Verwendung von DNSCrypt mein Surfen?: Kaum. Die Authentifizierung fügt Dutzende Mikrosekunden Kryptoarbeit und einen zusätzlichen UDP-Roundtrip bei der ersten Abfrage einer Sitzung hinzu. Sobald das Resolver-Zertifikat zwischengespeichert ist, haben Abfragen ungefähr die gleiche Latenz wie einfaches DNS. Anonymisiertes DNSCrypt fügt einen weiteren Hop hinzu, der einige Millisekunden hinzufügt.
Kann mein ISP meine DNS-Anfragen weiterhin mit DNSCrypt sehen?: Nein, nicht der Inhalt. Sie sehen verschlüsseltes UDP oder TCP zur IP des Resolvers. Sie können immer noch sehen, mit welchem Resolver Sie sprechen. Wenn das Ziel darin besteht, sowohl die Abfragen als auch die Wahl des Resolvers zu verbergen, führen Sie DNSCrypt über ein VPN aus.
Verhindert DNSCrypt DNS-Hijacking?: Ja für On-Path-Hijacking – das Resolver-Zertifikat wird vom Client überprüft, sodass eingeschleuste oder gefälschte Antworten erkannt und verworfen werden. Es bietet keinen Schutz vor einem feindlichen <em>chosen</em>-Resolver oder einem Domain-Registrar-Hijack auf der autorisierenden Seite; Die vollständige Angriffsfläche finden Sie in unserem <a href="/learning/dns-hijacking">DNS-Hijacking-Artikel </a>.
Wird DNSCrypt noch weiterentwickelt?: Ja. dnscrypt-proxy wird regelmäßig veröffentlicht und die anonymisierte Relay-Funktion des Protokolls wurde erst 2019 hinzugefügt. Es ist nicht mehr die einzige verschlüsselte DNS-Option, aber die Betreuer verbessern sie weiterhin für die Benutzerbasis, die darauf angewiesen ist.

DNSCrypt vs. DoH vs. DoT

Die Client-Landschaft

Was DNSCrypt nicht löst

Häufig gestellte Fragen