Ich erhalte immer mal wieder Hinweise bzw. die Bitte, zu beschreiben, wie sich DNS over TLS (DOT) in Android, Routern oder dem Pi-Hole »aktivieren« lässt. Mein Stand dazu ist Folgender:

Android: Ab Android P wird der DNS-Datenverkehr über einen verschlüsselten Kanal empfangen und versendet – sofern der eingestellte DNS-Server dies unterstützt. Dazu wird Android DOT nutzen. Für Android kleiner als Version 9 gibt es aktuell keine praktikable Methode, um DOT zu nutzen.
Router / Firewall: Router wie die FRITZ!Box sind nach meiner Auffassung eine ideale, zentrale Komponente im privaten Netzwerk, um DNS-Abfragen »nach außen« zu verschlüsseln. Der Vorteil: Alle Geräte im privaten Netzwerk würden von DOT profitieren und die aufwendige Konfiguration auf jedem Client würde entfallen. Auf Notebooks oder Smartphones, die auch in anderen Netzen unterwegs sind, sollte man DOT allerdings noch zusätzlich konfigurieren (bspw. über stubby). Massenprodukte wie die FRITZ!Box unterstützen DOT allerdings leider noch nicht.
Pi-hole: In Pi-hole lässt sich unbound installieren, um DNS-Anfragen aufzulösen. Da unbound DOT bereits standardmäßig unterstützt, werde ich die Anleitung von Pi-hole demnächst erweitern / aktualisieren und die Aktivierung von DOT beschreiben – die zusätzliche Installation von stubby auf dem Pi-hole kann man sich nach meiner Auffassung dann sparen.

So viel zum aktuellen Stand von DOT bzw. der Praxistauglichkeit.

Unterstütze den Blog mit einem Dauerauftrag! Mitmachen ➡