Inhaltsverzeichnis
- Warum DoH und DoT im Jahr 2026 wichtig sind
- Cloudflare 1.1.1.1 tiefgehende Analyse
- NextDNS tiefgehende Analyse
- Quad9 tiefgehende Analyse
- Selbst gehosteter Resolver tiefgehende Analyse
- Vergleichstabelle: 5 Optionen × 10 Kriterien
- Empfehlungen nach Profil
Was ist DNS-over-HTTPS und warum ist es wichtig?
DNS-over-HTTPS (DoH) verschlüsselt DNS-Anfragen innerhalb des standardmäßigen HTTPS-Verkehrs auf Port 443, wodurch sie von normalem Web-Browsing nicht zu unterscheiden sind. Ohne Verschlüsselung reist jeder von Ihnen aufgelöste Hostname — jede von Ihnen besuchte Website — im Klartext, der von Ihrem ISP, öffentlichen WLAN-Betreibern und Netzwerk-Middleboxen gelesen werden kann. Im Jahr 2026 bleibt unverschlüsseltes DNS der am weitesten ausgenutzte Überwachungsvektor auf der Netzwerkschicht.
Die in diesem Artikel verwendeten Schlüsselbegriffe — DoH, DoT, ECH, SNI, CNAME cloaking — sind im Browser-Datenschutz- und Sicherheitsglossar definiert.
Warum DoH und DoT im Jahr 2026 wichtig sind
DNS wurde 1983 mit einer einzigen Anforderung entworfen: Korrektheit. Datenschutz stand nicht auf der Agenda. Jede DNS-Anfrage, die Sie senden — der Hostname jeder von Ihnen besuchten Website, jede API, die Sie aufrufen, jedes Update, das Ihr Telefon überprüft — reist standardmäßig im Klartext. Ihr ISP kann es lesen. Der Betreiber eines öffentlichen WLAN-Netzwerks kann es lesen. Jeder Nationalstaat, der eine Middlebox in einem Transitnetzwerk betreibt, kann es lesen.
Im Jahr 2026 ist dies keine theoretische Bedrohung. Regulatorische Vorgaben für DNS-basierte Filterung sind in der EU, Großbritannien, Australien, Indien und Dutzenden anderer Gerichtsbarkeiten aktiv. ISPs in mehreren Ländern monetarisieren DNS-Abfrageprotokolle, indem sie sie an Datenbroker verkaufen. DPI-basierte Inhaltsinjektion — bei der Ihr ISP DNS-Antworten umschreibt oder Inhalte in HTTP-Verbindungen injiziert — wurde in mindestens 14 Ländern im Jahr 2025 dokumentiert. Unverschlüsseltes DNS ist gleichzeitig die einfachste Angriffsfläche in Ihrem Netzwerk und die am häufigsten ungepatchte.
Zwei Protokolle adressieren dies. DNS-over-TLS (DoT) umhüllt DNS in einer TLS-Verbindung auf Port 853. Es verschlüsselt die Anfrage, aber da Port 853 exklusiv für DoT ist, können Netzwerkbetreiber den Verkehr trivial identifizieren und blockieren. DNS-over-HTTPS (DoH) sendet DNS-Anfragen innerhalb des standardmäßigen HTTPS auf Port 443, was es passiven Beobachtern unmöglich macht, es von normalem Web-Browsing zu unterscheiden. Dies macht DoH erheblich schwerer zu zensieren und erhöht die Kosten der Überwachung dramatisch.
Über diese beiden hinaus läuft DNS-over-QUIC (DoQ) DoH-äquivalente Semantik über den QUIC-Transport, wodurch der TCP-Handshake-Overhead eliminiert und die Latenz in mobilen Netzwerken verbessert wird. Cloudflare und eine kleine Anzahl anderer Anbieter unterstützen DoQ im Jahr 2026, aber die Unterstützung auf Betriebssystemebene ist noch gering.
Der Wechsel im Bedrohungsmodell seit 2020 — unser Bedrohungsmodellierungsleitfaden für technisch versierte Nutzer erklärt, wie Sie Ihres formalisieren können — ist es wert, explizit benannt zu werden. Vor drei Jahren war das Hauptargument für verschlüsseltes DNS die Protokollierung durch ISPs. Das bleibt wahr, aber drei zusätzliche Vektoren sind aufgetaucht:
GDPR und Datenschutzexposition. In der EU stellen Abfrageprotokolle, die von einem Resolver gehalten werden, personenbezogene Daten gemäß Artikel 4(1) dar. Wenn Sie den gesamten Haushalts-DNS über einen kommerziellen Anbieter mit Aufbewahrung leiten, schaffen Sie eine Datenverantwortlichen-Beziehung, der die meisten Nutzer nie in irgendeinem sinnvollen Sinne zugestimmt haben.
Öffentliches WLAN MITM. Cafés, Flughäfen, Hotels und Konferenzorte führen routinemäßig DNS-Abfangmaßnahmen durch. Mit unverschlüsseltem DNS können sie Sie stillschweigend umleiten. DoH eliminiert diesen Angriffsvektor, da der Resolver-Endpunkt durch ein TLS-Zertifikat verifiziert wird.
Umgehung von Zensur. Staatlich vorgeschriebene DNS-Sperren sind die erste Schicht der Zensurinfrastruktur in den meisten Ländern. Die Verschlüsselung und Tunneling von DNS durch einen Port-443-Endpunkt überwindet diese Schicht, ohne ein vollständiges VPN zu erfordern. Für Nutzer in Umgebungen mit eingeschränktem Zugang ist DoH oft das minimal erforderliche Datenschutzwerkzeug.
Die verbleibenden Abschnitte bewerten die vier Hauptbereitstellungsoptionen, die im Jahr 2026 verfügbar sind: Cloudflare 1.1.1.1, NextDNS, Quad9 und selbst gehostete Resolver. Jeder Abschnitt behandelt Protokollunterstützung, Datenschutzhaltung, Filterfähigkeiten, Gerichtsbarkeit und relevante Prüfungsgeschichte.
Cloudflare 1.1.1.1 tiefgehende Analyse
Cloudflare startete 1.1.1.1 im April 2018 als datenschutzorientierten öffentlichen Resolver. Im Jahr 2026 bleibt es der schnellste öffentliche DNS-Resolver nach globaler mittlerer Latenz und der am weitesten verbreitete DoH-Endpunkt im Internet, standardmäßig in Chrome auf Android, mehreren Router-Firmwares und der iOS Private Relay-Infrastruktur integriert.
Protokollunterstützung. 1.1.1.1 unterstützt DoH (RFC 8484), DoT (RFC 7858) und DoQ (RFC 9250). Der DoH-Endpunkt ist https://cloudflare-dns.com/dns-query und https://1.1.1.1/dns-query. Der DoT-Server ist one.one.one.one auf Port 853. Für DoQ unterstützen Clients wie der AdGuard DNS-Client den quic://dns.cloudflare.com Endpunkt.
Datenschutzhaltung. Cloudflare veröffentlicht einen jährlichen Datenschutzbericht, der von KPMG geprüft wird. Wichtige Verpflichtungen: kein Verkauf von DNS-Abfragedaten an Dritte, keine Nutzung von 1.1.1.1-Abfragedaten zur gezielten Werbung und Löschung vollständiger IP-Adressprotokolle innerhalb von 25 Stunden. Stub-Resolver-Metadaten (gekürzte IPs, aggregierte Abfrageanzahlen) werden für betriebliche Metriken aufbewahrt. Cloudflare ist in den Vereinigten Staaten eingetragen und unterliegt NSLs und FISA Section 702-Befehlen. Für Bedrohungsmodelle, die US-Regierungsprozesse einschließen, ist dies eine nicht triviale Einschränkung.
Filtervarianten. Cloudflare betreibt drei verschiedene Resolver. Der Basis-1.1.1.1 wendet keine Filterung an. 1.1.1.2 (Cloudflare Security) blockiert bekannte Malware- und Phishing-Domains unter Verwendung von Cloudflares Bedrohungsintelligenz. 1.1.1.3 (Cloudflare Family) fügt eine Filterung von Inhalten für Erwachsene hinzu. Die DoH-Äquivalente verwenden Subdomains: security.cloudflare-dns.com und family.cloudflare-dns.com.
Latenz. Cloudflares Anycast-Netzwerk umfasst über 300 Standorte. Die mittlere Latenz aus Westeuropa beträgt etwa 5 bis 12 ms, die niedrigste aller großen öffentlichen Resolver. Aus Südostasien und Lateinamerika beträgt sie typischerweise 15 bis 30 ms — immer noch wettbewerbsfähig mit ISP-Resolvern.
Prüfungsgeschichte. Drei KPMG-Prüfungen wurden veröffentlicht (2019, 2021, 2023). Alle bestätigten Cloudflares Einhaltung der angegebenen Datenpraktiken. Die Prüfung 2023 bestätigte keine Hinweise auf IP-zu-Abfrage-Verknüpfungen in den aufbewahrten Protokollen. Die nächste geplante Prüfung deckt die Operationen von 2025 ab.
Urteil. Cloudflare 1.1.1.1 ist die richtige Wahl für Nutzer, die Latenz und breite Plattformunterstützung priorisieren und deren Bedrohungsmodell keine spezifischen US-Regierungsprozesse einschließt. Für hochsensible Anwendungsfälle ist die US-Gerichtsbarkeit eine echte Einschränkung.
NextDNS tiefgehende Analyse
NextDNS wurde 2019 als konfigurierbarer öffentlicher Resolver gestartet. Sein Kerndifferenzierer ist die Anpassung pro Konto: Blocklisten, Zulassungslisten, Analysen, Kindersicherung und gerätespezifische Richtlinien. Im Jahr 2026 hat NextDNS etwa 2 Millionen aktive Nutzer und verarbeitet über 200 Milliarden Anfragen pro Monat.
Protokollunterstützung. NextDNS unterstützt DoH, DoT, DoQ und DNSCrypt. Jedes Konto erhält einen einzigartigen Resolver-Endpunkt (https://dns.nextdns.io/XXXXXX), der die Durchsetzung von Richtlinien pro Konto ermöglicht. Dies ist architektonisch anders als bei Cloudflare und Quad9, die globale Richtlinien anwenden.
Datenschutzhaltung. NextDNS ist in Delaware (USA) eingetragen. Das Datenschutzmodell ist Opt-in-Analytik: standardmäßig ist die Abfrageprotokollierung deaktiviert. Wenn Sie Protokolle aktivieren, wählen Sie den Aufbewahrungszeitraum (eine Stunde, ein Tag, eine Woche, ein Monat oder für immer). Das Dashboard zeigt Echtzeit-Abfrageanalysen, wenn die Protokollierung aktiviert ist. Die Datenschutzrichtlinie von NextDNS besagt, dass Abfragedaten nicht verkauft oder für Werbung verwendet werden. Allerdings bedeutet die US-Gerichtsbarkeit, dass derselbe NSL/FISA-Vorbehalt wie bei Cloudflare gilt. Für Nutzer, die die Protokollierung vollständig deaktivieren, ist die praktische Exposition minimal.
Blocklisten und Anpassung. NextDNS liefert über 40 kuratierte Blocklisten: Werbenetzwerke, Tracker, Malware, Phishing, Coinminer, Inhalte für Erwachsene, soziale Medien und mehr. Sie können sie kombinieren, benutzerdefinierte Domains hinzufügen und gerätespezifische Zulassungslisten erstellen. Das Analysedashboard zeigt, welche Listen die meisten Anfragen blockiert haben, was die Abstimmung einfach macht. Diese Kontrollstufe hat kein Äquivalent in Cloudflare oder Quad9.
Preisgestaltung. Kostenloser Tarif: 300.000 Anfragen pro Monat, volle Funktionen. Ein typischer aktiver Nutzer generiert 50.000 bis 150.000 Anfragen pro Monat. Familien oder netzwerkweite Setups überschreiten leicht 300.000. Der Pro-Plan kostet 1,99 $ pro Monat oder 19,90 $ pro Jahr, ohne Abfragebegrenzung. Nach Datenschutzsoftware-Standards ist es günstig.
Leistung. NextDNS betreibt Rechenzentren in Europa und Nordamerika, mit einem kleineren Fußabdruck als Cloudflare. Die mittlere Latenz aus Westeuropa beträgt etwa 15 bis 25 ms. Aus Regionen außerhalb der Abdeckung von NextDNS kann die Latenz auf 60 bis 100 ms ansteigen. Für Nutzer in Mittel- oder Osteuropa, Asien oder Lateinamerika ist die Latenz ein echtes Anliegen.
Urteil. NextDNS ist die beste Wahl für Nutzer, die tiefgehende Filterkontrolle, gerätespezifische Richtlinien und Echtzeitanalysen wünschen. Die US-Gerichtsbarkeit und der kleinere PoP-Fußabdruck sind die beiden Hauptbeschränkungen im Vergleich zu Quad9.
Welcher DNS-Anbieter ist am besten für den Datenschutz: Quad9 vs Cloudflare?
Für datenschutzorientierte Nutzer ist Quad9 die stärkere Wahl: Es ist eine Schweizer Non-Profit-Organisation, protokolliert keine IP-Adressen, erzwingt DNSSEC und hat keinen Anreiz für Werbeeinnahmen. Cloudflare 1.1.1.1 ist weltweit schneller (mittlere ~10ms vs ~13ms in Europa) und KPMG-geprüft, ist jedoch eine US-Korporation, die NSL/FISA-Rechtsprozessen unterliegt. Wählen Sie Cloudflare für Geschwindigkeit; wählen Sie Quad9, wenn Ihr Bedrohungsmodell US-Regierungszwang einschließt.
Quad9 tiefgehende Analyse
Quad9 wurde im November 2017 als gemeinsames Projekt zwischen IBM, Packet Clearing House und der Global Cyber Alliance gestartet. Im Jahr 2020 verlegte es seinen Hauptsitz von San Francisco nach Zürich, Schweiz, und restrukturierte sich als Schweizer Non-Profit-Stiftung. Dieser Schritt war bewusst: Das Schweizer Recht bietet eines der stärksten Datenschutzregime für einen Resolver, ohne obligatorische Aufbewahrung von Abfrageprotokollen und ohne Massenüberwachungsrahmen, der dem US FISA Section 702 entspricht.
Protokollunterstützung. Quad9 unterstützt DoH (https://dns.quad9.net/dns-query), DoT (dns.quad9.net auf Port 853) und DNSCrypt. DoQ-Unterstützung ist auf der Roadmap, aber noch nicht in der Produktion verfügbar Mitte 2026.
Datenschutzhaltung. Quad9s Kernverpflichtung besteht darin, keine Endnutzer-IP-Adressen in der Produktion zu protokollieren. Abfrageinhalte (der abgefragte Hostname) werden aggregiert für Bedrohungsintelligenz verwendet, aber nicht mit IP-Adressen verknüpft. Quad9 veröffentlicht einen jährlichen Transparenzbericht. Als Schweizer Stiftung unterliegt es nicht US-NSLs oder FISA-Befehlen. Die EU-DSGVO gilt durch die europäische Präsenz von Quad9. Im Jahr 2021 erließ das deutsche Landgericht in München zunächst eine einstweilige Verfügung, die Quad9 zur Sperrung einer bestimmten Piraterie-Domain verpflichtete; Quad9 legte Berufung ein und gewann in allen Punkten, was feststellte, dass ein DNS-Resolver nicht für die Inhalte haftet, die er auflöst.
Malware-Filterung. Quad9s Sicherheitsfeed aggregiert Bedrohungsintelligenz von über 25 Partnern, darunter F-Secure, Secureworks, Abuse.ch und mehrere nationale CERTs. Der Standardendpunkt (9.9.9.9, 149.112.112.112) blockiert Domains, die mit Malware, Ransomware, Phishing und Botnet-C2-Infrastruktur in Verbindung stehen. Ein ungefilterter Endpunkt ist unter 9.9.9.10 verfügbar für Nutzer, die Verschlüsselung ohne Blockierung wünschen.
Leistung. Quad9 betreibt etwa 200 PoPs, hauptsächlich in Europa und Nordamerika. Die mittlere Latenz aus Westeuropa beträgt 8 bis 18 ms. Die Abdeckung in Südostasien, Lateinamerika und Afrika ist dünner als bei Cloudflare, aber im Ausbau. Für europäische Nutzer liegt Quad9 typischerweise innerhalb weniger Millisekunden von Cloudflare.
Urteil. Quad9 ist die stärkste öffentliche Resolver-Option für Nutzer mit einem ernsthaften Datenschutz-Bedrohungsmodell. Schweizer Gerichtsbarkeit, Non-Profit-Struktur, keine IP-Protokollierung und robuste Malware-Filterung machen es zur Standardempfehlung für Nutzer, die einen verwalteten Resolver ohne Selbsthosting wünschen.
Selbst gehosteter Resolver tiefgehende Analyse
Das Selbsthosting eines DNS-Resolvers eliminiert das Problem der Protokollierung durch Dritte vollständig. Keine externe Entität erhält Ihr Abfrageprotokoll. Der Kompromiss ist die betriebliche Komplexität: Sie sind verantwortlich für die Betriebszeit, die Sicherheits-Patches und die Konfigurationskorrektheit.
Die vier praktischsten Optionen im Jahr 2026 sind:
Unbound. Ein validierender, rekursiver Resolver, der von NLnet Labs gepflegt wird. Unbound führt eine vollständige DNSSEC-Validierung durch und unterstützt DoT als Upstream-Weiterleiter. Es unterstützt nativ keinen DoH-Server, passt aber gut zu einem DoH-Frontend wie dnsdist. Unbound ist die Referenzwahl für Nutzer, die einen schlanken, auditierbaren Resolver wünschen. Die Konfiguration ist textbasiert und gut dokumentiert.
AdGuard Home. Ein vollständiger DNS-Server mit einer integrierten Web-Benutzeroberfläche, einer Blockierungs-Engine und gerätespezifischen Richtlinien. AdGuard Home unterstützt DoH, DoT, DoQ und DNSCrypt sowohl auf der Upstream- als auch auf der Listener-Seite. Die Einrichtung dauert weniger als 30 Minuten auf jedem Linux-System. Die Blockierungs-Benutzeroberfläche ist die zugänglichste der selbst gehosteten Optionen. AdGuard Home ist Open Source (GPL-3.0) und wird aktiv gepflegt.
Pi-hole mit einem DoH-Proxy. Pi-hole ist der bekannteste DNS-Blocker für zu Hause, der hauptsächlich auf Werbung und Tracker abzielt. Standardmäßig verschlüsselt es keine Upstream-Anfragen. Das Hinzufügen von dnscrypt-proxy oder cloudflared als lokaler DoH-Proxy bietet Verschlüsselung. Dieses Zwei-Komponenten-Setup ist funktional, hat aber mehr bewegliche Teile als AdGuard Home.
dnscrypt-proxy. Ein flexibler, ressourcenschonender Proxy, der DoH, DoT, DNSCrypt und anonymisiertes DNSCrypt (Routing von Anfragen über ein Relay, um den Resolver vor der Quell-IP zu verbergen) unterstützt. dnscrypt-proxy ist das richtige Werkzeug für Nutzer, die maximale Protokollflexibilität oder anonymisiertes Routing wünschen. Es läuft auf Linux, macOS, Windows und BSD.
Bereitstellungsüberlegungen. Für den Heimgebrauch bewältigt ein Raspberry Pi 4 mit AdGuard Home den Haushaltsverkehr bei unter 5 % CPU-Auslastung. Für ein kleines Team oder Büro reicht ein 6 $/Monat VPS aus. Das primäre Betriebsrisiko ist die Verfügbarkeit: Wenn Ihr Resolver ausfällt und Sie ihn als einzigen Nameserver fest codiert haben, schlägt die DNS-Auflösung für alle Geräte im Netzwerk fehl. Die Konfiguration eines Fallback-Upstreams — idealerweise Quad9 oder ein anderer nicht protokollierender Resolver — mildert dies.
Urteil. Selbsthosting ist die maximale Datenschutzoption und den Einrichtungsaufwand für Power-User, datenschutzorientierte Familien und kleine Teams wert. AdGuard Home ist der empfohlene Ausgangspunkt für die meisten Nutzer; Unbound ist die Wahl für Nutzer, die einen schlanken, abhängigkeitsminimalen Stack wünschen.
Vergleichstabelle: 5 Optionen × 10 Kriterien
| Kriterium | Cloudflare 1.1.1.1 | NextDNS | Quad9 | Selbst gehostet (AdGuard Home) | Selbst gehostet (Unbound) |
|---|---|---|---|---|---|
| Gerichtsbarkeit | USA | USA | Schweiz | Sie | Sie |
| Verschlüsselungsprotokolle | DoH, DoT, DoQ | DoH, DoT, DoQ, DNSCrypt | DoH, DoT, DNSCrypt | DoH, DoT, DoQ, DNSCrypt | DoT (upstream), DoH über Proxy |
| Malware-Filter | Optional (1.1.1.2) | Ja (konfigurierbar) | Ja (Standard) | Ja (Blocklisten) | Nein (Blockliste über RPZ) |
| Benutzerdefinierte Blocklisten | Nein | Ja (40+ kuratierte + benutzerdefiniert) | Nein | Ja (umfangreich) | Ja (RPZ/lokale Zonen) |
| Abfrageanalysen | Nein | Optional (Opt-in) | Nein | Ja (nur lokal) | Nein |
| Unabhängige Prüfung | Ja (jährlich KPMG) | Nein | Ja (jährliche Transparenz) | N/A | N/A |
| Preis | Kostenlos | Kostenlos / 1,99 $/Monat | Kostenlos | Kostenlos (Hardwarekosten) | Kostenlos (Hardwarekosten) |
| Latenz Europa/USA | ~10ms / ~5ms | ~20ms / ~10ms | ~13ms / ~8ms | <5ms (lokal) | <5ms (lokal) |
| Umgehung von Zensur | Gut | Gut | Gut | Ausgezeichnet | Ausgezeichnet |
| Selbsthosting möglich | Nein | Nein | Nein | Ja | Ja |
Empfehlungen nach Profil
Heim-Power-User. Implementieren Sie AdGuard Home auf einem Raspberry Pi oder Mini-PC. Konfigurieren Sie Quad9 DoH als Upstream-Resolver. Dies gibt Ihnen lokale Kontrolle über Blocklisten, keine externe Abfrageprotokollierung, einen Schweizer Gerichtsbarkeits-Upstream und Malware-Schutz. Die Einrichtung dauert zwei Stunden; die Wartung unter 30 Minuten pro Monat.
Entwickler mit VPN. Verwenden Sie NextDNS mit deaktivierter Protokollierung. Das gerätespezifische Richtliniensystem ermöglicht es Ihnen, die Blockierung pro Umgebung ein- und auszuschalten. Der DoH-Endpunkt integriert sich sauber in Split-Tunnel-VPN-Konfigurationen. Wenn Ihr VPN-Anbieter seinen eigenen verschlüsselten Resolver anbietet — siehe unser VPN-Benchmark für technisch versierte Nutzer — bevorzugen Sie diesen: Es reduziert die Anzahl der Entitäten, die Ihre Anfragen korrelieren können.
Familie mit Kindern. NextDNS Pro mit den aktivierten Stacks Bedrohungsintelligenz + Native Tracking Protection + Kindersicherung. Das gerätespezifische Richtliniensystem ermöglicht es Ihnen, strengere Regeln für Kindergeräte festzulegen, ohne die Geräte von Erwachsenen zu beeinflussen. Aktivieren Sie die Abfrageprotokollierung für eine Woche, um die Blocklisten abzustimmen, und setzen Sie dann die Aufbewahrung auf eine Stunde oder deaktivieren Sie sie.
Paranoides oder Unternehmensprofil. Selbst gehostetes Unbound auf einem gehärteten VPS in einer Gerichtsbarkeit, die Sie kontrollieren, mit aktivierter DNSSEC-Validierung, ohne Forwarder-Protokollierung und dnscrypt-proxy anonymisiertem Routing für den rekursiven Schritt. Kombinieren Sie dies mit einer netzwerkweiten Firewall, die alle ausgehenden UDP/53 und TCP/853 blockiert, außer durch Ihren kontrollierten Stack. Dieses Setup maximiert die Anzahl der Akteure, die Sie aus dem Abfragepfad entfernen können.
Für alle Profile: Unabhängig davon, welchen Resolver Sie wählen, erzwingen Sie auch verschlüsseltes DNS auf Betriebssystem- oder Router-Ebene, anstatt sich ausschließlich auf browserseitiges DoH zu verlassen. Browserseitiges DoH schafft eine Trennung, bei der einige Anwendungen Ihren konfigurierten Resolver verwenden und andere den eigenen Endpunkt des Browsers. Eine systemweite Konfiguration schließt diese Lücke. Sobald alles eingerichtet ist, überprüfen Sie das Setup von Ende zu Ende mit unserem Netzwerk-Leck-Erkennungsleitfaden.
Interne Ressourcen: Zustand des Browser-Datenschutzes 2026 behandelt Fingerprinting, TLS-Identität und Betriebssystem-Härtung, die die DNS-Verschlüsselung ergänzen. iOS Lockdown Mode und JSC-Leistung untersucht die Kompromisse des maximalen Isolationsmodus auf Apple-Geräten. Für Betreiber, die ihre eigenen Web-Eigenschaften betreiben, prüft unser HTTP-Sicherheitsheader-Checker die Antwortheader, die Ihr Server sendet — einschließlich HSTS, CSP und Referrer-Richtlinien, die eine verschlüsselte DNS-Haltung ergänzen.
