Normalerweise werden DNS-Abfragen als Klartext übermittelt. Jeder, der im Web auf der Lauer liegt, kann sehen, mit welchen Websites Sie sich verbinden.

Um sicherzustellen, dass DNS-Abfragen für andere nicht einsehbar sind, sollten Sie einen Resolver verwenden, der sichere DNS-Übertragungswege wie DNS over HTTPS (DoH) oder DNS over TLS (DoT) unterstützt.

Der schnelle, kostenlose und datenschutzfreundliche Resolver 1.1.1.1 unterstützt DNS over TLS (DoT). Die Konfiguration erfolgt über einen Client, der diese Technologie unterstützt. Eine Liste dieser Clients finden Sie hier. DNS over HTTPS kann inzwischen in Firefox konfiguriert werden. Hier ist die Anleitung dafür. Beide Methoden sorgen dafür, dass Ihre DNS-Abfragen von außen nicht eingesehen werden können.


Mit DNSSEC kann sich ein Nutzer, eine Anwendung oder ein Resolver mit rekursiver Namensauflösung darauf verlassen, dass die Antwort auf eine DNS-Abfrage dem entspricht, was vom Eigentümer der Domain beabsichtigt ist.

Anders ausgedrückt: DNSSEC beweist die Echtheit und Integrität (wenn auch nicht die Vertraulichkeit) einer Antwort von einem autoritativen Nameserver. Das macht es Kriminellen deutlich schwerer, mithilfe von durchgesickerten BGP-Routen und Cache Poisoning bösartige DNS-Einträge in den Auflösungspfad einzuschmuggeln. Diese Art von Manipulation kann es einem Angreifer ermöglichen, den gesamten bei einem von ihm übernommenen Server eingehenden Traffic umzuleiten. Möglich ist auch ein Unterbinden der SNI-Verschlüsselung, wodurch der Name des Hosts offengelegt wird, mit dem Sie sich verbinden.

Cloudflare bietet kostenlose DNSSEC-Unterstützung für jederman. Mehr zu DNSSEC und Cloudflare erfahren Sie unter https://www.cloudflare.com/de-de/dns/dnssec/


TLS 1.3 ist die neueste, in mehrfacher Hinsicht bezüglich Performance und Datenschutz verbesserte Version des TLS-Protokolls.

Wenn Sie TLS 1.3 nicht nutzen, ist das Zertifikat des Servers, mit dem Sie sich verbinden, auch nicht verschlüsselt. Dann kann jeder, der im Internet auf der Lauer liegt, in Erfahrung bringen, auf welche Websites Sie zugreifen.

Bei allen über Cloudflare laufenden Websites ist TLS 1.3-Unterstützung standardmäßig aktiviert – im Bereich „SSL/TLS“ des Cloudflare-Dashboards können Sie Ihre Einstellungen jederzeit überprüfen. Mehr zu TLS 1.3 erfahren Sie unter https://www.cloudflare.com/de-de/learning/ssl/why-use-tls-1.3/

Wer eine Website besucht, sollte sich jetzt vergewissern, dass der dafür verwendete Browser TLS 1.3 unterstützt. Rufen Sie diese Seite auf und wählen Sie einen kompatiblen Browser aus.


Encrypted Client Hello (ECH) ist eine Erweiterung des TLS Handshake-Protokolls, die verhindert, dass datenschutzrelevante Parameter des Handshake für Akteure offengelegt werden, die sich zwischen Ihnen und Cloudflare befinden. Dieser Schutz erstreckt sich auch auf die Server Name Indication (SNI), die ansonsten bei Herstellung der TLS-Verbindung den Namen des Hosts verraten würde, mit dem Sie sich verbinden möchten.


ECH ist bislang noch nicht allgemein für Webdienste verfügbar, denen Cloudflare vorgeschaltet ist. Wir arbeiten jedoch für die Implementierung und den Einsatz dieser zu Verbesserung des Datenschutzes wichtigen Funktion eng mit Browseranbietern zusammen. Mehr zu diesem Thema erfahren Sie in dem Blog-Beitrag, in dem ECH vorgestellt wird, und in unserem neuesten Update dazu, wie für die stärkere Verbreitung dieses Schutzes gesorgt werden kann.