Elke keer als je een website bezoekt, stuurt je computer een DNS-verzoek. Dat is een soort telefoonboek-opzoeking: je typt een domeinnaam in, en je computer vraagt aan een server welk IP-adres daarbij hoort. Standaard gebeurt dat onversleuteld, wat betekent dat je internetprovider, je router of zelfs kwaadwillenden op hetzelfde netwerk kunnen meekijken welke sites je bezoekt.
DNS over HTTPS, afgekort als DoH, lost dat probleem op. Het versleutelt die DNS-verzoeken zodat niemand onderweg kan meelezen. Windows 11 ondersteunt dit ingebouwd, zonder dat je extra software nodig hebt. In deze handleiding lees je precies hoe je het instelt en wat je erbij moet weten.
Het goede nieuws: het kost je hooguit vijf minuten en je hoeft niets te installeren. Het is een van de simpelste privacyverbeteringen die je in Windows 11 kunt doen.
Wat lost DNS over HTTPS precies op?
Stel je voor dat je HTTPS-websites bezoekt. De verbinding zelf is versleuteld, maar de vraag “welk IP-adres hoort bij deze domeinnaam” gaat nog steeds als platte tekst over het netwerk. Je internetprovider ziet dus welke domeinen je opzoekt, ook al ziet hij niet wat je precies doet op die site.
Met DoH gaan die DNS-verzoeken via een versleutelde HTTPS-verbinding naar een DNS-server die dit ondersteunt. De inhoud van je verzoek is dan onzichtbaar voor iedereen die het verkeer onderschept. Je internetprovider ziet nog steeds dat je verbinding maakt met een IP-adres, maar niet welke domeinnaam daarvoor is opgezocht.
Dit is overigens geen volledige anonimiteitsoplossing. Als je echt onzichtbaar wilt zijn op het netwerk, heb je ook een VPN nodig, zoals Proton VPN of Mullvad. Maar DoH is een degelijke eerste stap die weinig moeite kost.
Welke DNS-servers ondersteunen DoH?
Niet elke DNS-server ondersteunt DNS over HTTPS. Windows 11 herkent een aantal betrouwbare servers automatisch. De bekendste opties zijn:
- Cloudflare (1.1.1.1): Snel en privacyvriendelijk. Cloudflare belooft geen gebruikersdata te verkopen en verwijdert logs binnen 24 uur.
- Google (8.8.8.8): Heel betrouwbaar en snel, maar Google verwerkt wel data voor eigen doeleinden. Minder geschikt als privacy je prioriteit is.
- Quad9 (9.9.9.9): Blokkeert automatisch bekende schadelijke domeinen. Handig als extra beveiligingslaag.
- NextDNS: Meer controle en aanpassingsmogelijkheden, inclusief eigen filters. Heeft een gratis laag en betaalde plannen vanaf ongeveer 2 euro per maand.
Voor de meeste mensen is Cloudflare of Quad9 een praktische keuze. Quad9 biedt iets meer bescherming door malware-domeinen te blokkeren, terwijl Cloudflare puur focust op snelheid en privacy.
DNS over HTTPS instellen via Windows-instellingen
Windows 11 heeft DoH ingebouwd in de netwerkinstellingen. Je stelt het per netwerkadapter in, dus je moet dit apart doen voor wifi en ethernet als je beide gebruikt.
Stap 1: open de netwerkinstellingen
Ga naar Instellingen via het Startmenu. Klik op “Netwerk en internet”. Kies dan “Wi-Fi” of “Ethernet”, afhankelijk van welke verbinding je wilt instellen. Klik op de naam van je actieve verbinding.
Stap 2: open de DNS-instellingen
Scroll naar beneden tot je “DNS-servertoewijzing” ziet. Klik op “Bewerken” ernaast. Er verschijnt een venster waar je kunt kiezen tussen “Automatisch (DHCP)” en “Handmatig”. Kies “Handmatig”.
Stap 3: voer de DNS-servers in
Zet de schakelaar bij IPv4 op aan. Vul bij “Voorkeurs-DNS” het adres van je gekozen server in, bijvoorbeeld 1.1.1.1 voor Cloudflare. Bij “Alternatieve DNS” kun je een tweede server invullen, zoals 1.0.0.1 (ook Cloudflare). Zet daarna bij “DNS over HTTPS (voorkeur)” de optie op “Aan (automatisch sjabloon)”. Doe hetzelfde voor de alternatieve DNS.
Stap 4: sla op en controleer
Klik op Opslaan. Windows past de instelling direct toe. Je kunt controleren of het werkt door naar 1.1.1.1/help te gaan als je Cloudflare gebruikt. Die pagina toont of DoH actief is.
DNS over HTTPS instellen via PowerShell
Wil je het sneller doen, of meerdere computers instellen? Dan is PowerShell een handig alternatief. Open PowerShell als administrator door met de rechtermuisknop op het Startmenu te klikken en “Windows PowerShell (Administrator)” te kiezen.
Voer dit commando in om DoH in te schakelen voor de Cloudflare DNS-server:
Set-DnsClientDohServerAddress -ServerAddress 1.1.1.1 -DohTemplate https://cloudflare-dns.com/dns-query -AllowFallbackToUdp $False -AutoUpgrade $TrueHerhaal dit voor het alternatieve adres 1.0.0.1 met hetzelfde sjabloon. Wil je Quad9 gebruiken, vervang dan het adres door 9.9.9.9 en het sjabloon door https://dns.quad9.net/dns-query.
Met de optie AllowFallbackToUdp $False zorg je dat Windows nooit terugvalt op onversleutelde DNS, zelfs als de DoH-server even niet bereikbaar is. Dat is strenger maar veiliger.
DoH en VPN: hoe verhouden die zich?
Als je een VPN gebruikt, loopt je DNS-verkeer doorgaans al via de VPN-tunnel. De meeste degelijke VPN-diensten, zoals NordVPN, Surfshark, ExpressVPN en Proton VPN, regelen dat automatisch. Ze sturen je DNS-verzoeken via hun eigen servers, versleuteld en buiten het zicht van je internetprovider.
In dat geval voegt DoH in Windows weinig toe zolang de VPN actief is. Maar DoH is wel waardevol op momenten dat de VPN uit staat, of als je iemand bent die geen VPN gebruikt en toch wat meer privacy wil.
Mullvad is een VPN-dienst die extra ver gaat op het gebied van DNS-privacy. Ze bieden ook een eigen DNS-service aan die DoH ondersteunt. Als je echt serieus bent over wie jouw DNS-verzoeken te zien krijgt, is dat het bekijken waard.
Gebruik je een VPN en wil je ook DoH hebben als het VPN uitvalt? Dan kun je DoH instellen als extra laag. Ze bijten elkaar niet, en samen geven ze een degelijke bescherming van je DNS-verkeer.
Mogelijke nadelen om rekening mee te houden
DoH is praktisch, maar niet zonder kanttekeningen. Het is eerlijk die te benoemen.
Ten eerste verplaats je vertrouwen. Met DoH stuur je je DNS-verzoeken naar een externe server, zoals Cloudflare of Google. Je internetprovider ziet ze niet meer, maar die externe partij wel. Kies dus een server van een organisatie die je vertrouwt.
Ten tweede kan DoH conflicteren met netwerken die filteren via DNS. Denk aan een zakelijk netwerk dat bepaalde sites blokkeert via de eigen DNS-server. Als je DoH inschakelt, omzeil je die filters. Op je eigen thuis-pc is dat geen probleem, maar op een werkcomputer moet je dit even checken bij je IT-afdeling.
Ten derde is het in sommige landen controversieel. In het Verenigd Koninkrijk is er discussie over DoH omdat het de DNS-gebaseerde blokkades van internet providers omzeilt. In Nederland is dat op dit moment geen urgent issue, maar het is goed om te weten hoe de technologie werkt.
Controleren of het goed werkt
Na het instellen wil je natuurlijk weten of DoH ook echt actief is. De makkelijkste manier hangt af van de DNS-server die je hebt gekozen.
Voor Cloudflare: bezoek 1.1.1.1/help in je browser. De pagina toont een tabel met onder andere “Using DNS over HTTPS (DoH)”. Staat daar “Yes”, dan werkt het.
Voor een algemene test kun je de site dnsleaktest.com gebruiken. Die toont welke DNS-server je verzoeken verwerkt. Als je daar de server ziet die je hebt ingesteld, weet je dat het goed is geconfigureerd.
Zie je toch nog de DNS-server van je internetprovider? Controleer dan of je de instellingen hebt opgeslagen voor de juiste adapter, en of je misschien een andere verbinding gebruikt dan je dacht.