Public DNS
Jedes Mal, wenn Sie eine Website öffnen, fragt Ihr Gerät einen DNS-Resolver ab, um den Domainnamen in eine IP-Adresse zu übersetzen. Diese in der EU ansässigen öffentlichen DNS-Resolver werden von Unternehmen betrieben, die ausschließlich in Mitgliedstaaten der Europäischen Union (EU) ansässig sind und eine in der EU gehostete Infrastruktur, DSGVO-konforme Datenschutzrichtlinien sowie vollständige Datenhoheit innerhalb der EU bieten.
| Provider | Country | Free | DoT | DoH | Filtering |
|---|---|---|---|---|---|
| AdGuard DNS | 🇨🇾 CY | Yes | Yes | Yes | Ads, trackers, malware |
| DNS4EU | 🇨🇿 CZ | Yes | Yes | Yes | Malware, optional ads / child |
| DNS.SB | 🇩🇪 DE | Yes | Yes | Yes | No |
| Digitalcourage DNS | 🇩🇪 DE | Yes | Yes | No | No |
| FFMUC DNS | 🇩🇪 DE | Yes | Yes | Yes | No |
| dnsforge | 🇩🇪 DE | Yes | Yes | Yes | Ads, trackers, malware (optional) |
| le_dns | 🇫🇷 FR | Yes | Yes | Yes | No |
Europäische öffentliche DNS-Resolver
Die hier gelisteten EU-DNS-Server sind alle kostenlos nutzbar, einige bieten zusätzlich bezahlte Premium-Funktionen. Die meisten unterstützen moderne Verbindungsprotokolle wie DNS-over-TLS (DoT) oder DNS-over-HTTPS (DoH). Diese modernen Protokolle sind zu bevorzugen, da sie eine bessere Privatsphäre als das ältere unverschlüsselte DNS bieten.
Wer den Default-DNS-Resolver des eigenen Providers gegen einen datenschutzbewussten Resolver mit DoT/DoH tauscht, hält den eigenen Browser-Verlauf aus der Hand von Anbietern fern, die ihn protokollieren, verkaufen oder auf Anfrage herausgeben könnten.
Die meisten hier gelisteten Anbieter werben mit einer "No-Logging"-Policy. Solche Angaben können vom Endnutzer (oder uns!) allerdings letztlich nicht überprüft werden. Es bleibt eine Frage des Vertrauens in den Anbieter.
Wer den Default-DNS-Resolver des eigenen Providers gegen einen datenschutzbewussten Resolver mit DoT/DoH tauscht, hält den eigenen Browser-Verlauf aus der Hand von Anbietern fern, die ihn protokollieren, verkaufen oder auf Anfrage herausgeben könnten.
Die meisten hier gelisteten Anbieter werben mit einer "No-Logging"-Policy. Solche Angaben können vom Endnutzer (oder uns!) allerdings letztlich nicht überprüft werden. Es bleibt eine Frage des Vertrauens in den Anbieter.
Ein öffentlicher DNS-Resolver ist ein Dienst, der Domainnamen wie example.com in die IP-Adressen umsetzt, die das Gerät zur Verbindung braucht. Standardmäßig nutzen die meisten Geräte den vom Provider zugewiesenen Resolver. Ein öffentlicher Resolver erlaubt es, einen Anbieter zu wählen, der Anfragen mit strengeren Datenschutzgarantien, schnellerem Routing oder optionalem Content-Filtering verarbeitet.
Europäische Resolver agieren unter EU- und nationalem Datenschutzrecht, was einschränkt, was geloggt werden darf und wie lange. Viele werden von Non-Profits, Civic-Tech-Communities oder EU-geförderten Projekten betrieben, nicht von kommerziellen Anbietern. Es gibt damit kein Geschäftsmodell, das auf der Monetarisierung von Query-Daten basiert. Routing innerhalb Europas bringt zudem in der Regel niedrigere Latenz, was etwas schnellere Seitenaufrufe bedeutet.
Das klassische DNS-Protokoll wurde in den 80er Jahren entwickelt, ohne große Rücksicht auf Privatsphäre. Regulärer DNS-Verkehr ist unverschlüsselt. DoT und DoH versuchen beide, dieses Privatsphäre-Problem zu beheben, indem sie DNS-Anfragen über andere Protokolle transportieren (DoT = TLS, DoH = HTTPS).
DoT (DNS-over-TLS) und DoH (DNS-over-HTTPS) verschlüsseln beide DNS-Anfragen zwischen Gerät und Resolver, sodass sie für Mitleser im Netzwerk unsichtbar sind. DoT läuft auf einem eigenen Port (853) und ist als DNS-Verkehr leicht erkennbar und blockierbar, DoH läuft auf Port 443 und sieht aus wie normaler HTTPS-Verkehr. DoT ist meist einfacher systemweit unter Android, Linux und auf Routern zu konfigurieren, DoH lässt sich leichter pro Anwendung aktivieren, besonders in Browsern.
AdGuard DNS, dnsforge und DNS4EU bieten jeweils Filter-Endpunkte, die Werbung, Tracker und bekannte Malware-Domains auf DNS-Ebene blocken. AdGuard bietet bezahlte Tarife mit verbesserter Werbefilterung.
FFMUC DNS, Digitalcourage DNS, DNS.SB und le_dns geben alle ausdrücklich unveränderte DNS-Antworten ohne Filterung zurück.
Ja, mit den gleichen Vorbehalten wie bei jedem DNS-Anbieter. Die Grundfrage ist Vertrauen: Man muss dem Anbieter vertrauen. Aussagen wie "No Logging" oder "Zero Logs" lassen sich vom Endnutzer nicht überprüfen. Niemand kann wirklich in die Server schauen und sehen, welche Software dort läuft und ob tatsächlich keine Logs gespeichert werden.