Wil je DNS over HTTPS (DoH) instellen om je internetverkeer te beveiligen tegen afluisteren? In 2026 is dit de absolute standaard voor online privacy. DoH versleutelt je DNS-verzoeken door ze via poort 443 (het standaard HTTPS-protocol) te sturen. Hierdoor kan je internetprovider (ISP), je netwerkbeheerder of een hacker op een openbaar wifi-netwerk niet meer zien welke websites je probeert te bezoeken. Je stelt dit eenvoudig in via de netwerkinstellingen van Windows 11, macOS Sequoia, of direct in webbrowsers zoals Google Chrome en Mozilla Firefox. Kies een betrouwbare provider zoals Cloudflare (met de sjabloon https://cloudflare-dns.com/dns-query) of NextDNS, voer de gegevens in en je bent direct beschermd. In dit uitgebreide artikel ontdek je de exacte stappen, de beste DoH-servers van dit moment en oplossingen voor veelvoorkomende problemen.
Wat is DNS over HTTPS (DoH) precies?
Om te begrijpen waarom je DNS over HTTPS zou willen gebruiken, moet je eerst weten hoe het traditionele Domain Name System werkt. DNS fungeert als het telefoonboek van het internet. Wanneer jij een domeinnaam intypt in je adresbalk, weet je computer niet direct waar die website staat. Je apparaat stuurt een verzoek naar een DNS-server om de domeinnaam te vertalen naar een IP-adres, zoals 192.0.2.1.
Het probleem met klassieke DNS
Traditioneel worden deze DNS-verzoeken verzonden via het UDP-protocol op poort 53. Het grootste probleem hierbij is dat dit verkeer volledig onversleuteld is (plain text). Dit betekent dat het verzoek leesbaar is voor elk apparaat en elke server die zich tussen jouw computer en de DNS-server bevindt. Je internetprovider (zoals KPN, Ziggo of Odido) kan exact zien welke domeinen je opvraagt en deze data loggen. Ook hackers op een onbeveiligd netwerk kunnen deze verzoeken niet alleen meelezen, maar via ‘DNS spoofing’ of ‘man-in-the-middle’-aanvallen zelfs aanpassen, waardoor je ongemerkt naar een valse website wordt gestuurd.
De oplossing: Encryptie via HTTPS
DNS over HTTPS (DoH), officieel vastgelegd in de technische IETF-standaard RFC 8484, lost dit probleem op door het DNS-verzoek te verpakken in een regulier HTTPS-verzoek. HTTPS is hetzelfde beveiligingsprotocol dat wordt gebruikt om je betalingsgegevens te beschermen wanneer je online winkelt of bankiert.
Wanneer je DoH inschakelt, wordt je DNS-verzoek versleuteld en via TCP-poort 443 naar een DoH-compatibele resolver gestuurd. Voor een buitenstaander, zoals je ISP of een netwerkbeheerder, ziet dit verkeer er exact hetzelfde uit als normaal, veilig webverkeer naar een willekeurige website. Ze zien wel dat je verbinding maakt met een server van bijvoorbeeld Cloudflare of Google, maar ze kunnen onmogelijk de inhoud van het verzoek ontcijferen. Hierdoor blijft je browsegeschiedenis privé en ben je beschermd tegen manipulatie van je DNS-verkeer.
DNS over HTTPS vs. DNS over TLS (DoT): Wat is beter in 2026?
Naast DNS over HTTPS hoor je in 2026 ook vaak over DNS over TLS (DoT). Beide technologieën hebben exact hetzelfde doel: het versleutelen van je DNS-verkeer om je privacy en veiligheid te waarborgen. Toch is er een fundamenteel technisch verschil in de manier waarop ze dit bereiken, wat grote gevolgen heeft voor de praktijk.
De technische verschillen (Poort 443 vs 853)
DNS over TLS (DoT), vastgelegd in RFC 7858, voegt simpelweg een TLS-versleutelingslaag toe aan het bestaande DNS-protocol. Het gebruikt hiervoor een specifieke, toegewijde poort: TCP-poort 853. Omdat al het DoT-verkeer over deze ene specifieke poort loopt, is het voor netwerkbeheerders en internetproviders extreem eenvoudig om dit verkeer te identificeren. Ze kunnen de inhoud van de pakketjes weliswaar niet lezen, maar ze kunnen poort 853 wel in zijn geheel blokkeren in hun firewall. Dit wordt vaak gedaan op bedrijfsnetwerken of in landen met strenge censuur, om gebruikers te dwingen terug te vallen op de onversleutelde, afluisterbare standaard DNS op poort 53.
DNS over HTTPS (DoH) pakt dit veel slimmer aan voor de eindgebruiker. DoH verpakt de DNS-query in een HTTP/2 of HTTP/3 verzoek en stuurt dit over de standaard HTTPS-poort 443. Dit is exact dezelfde poort die wordt gebruikt voor 99% van het huidige internetverkeer. Voor een firewall of netwerkbeheerder is een DoH-pakketje niet te onderscheiden van een normale paginabezoek aan een website, een video-stream of een API-call. Om DoH te blokkeren, zou een netwerkbeheerder de specifieke IP-adressen van alle bekende DoH-providers moeten blokkeren, wat in de praktijk haast onbegonnen werk is zonder legitiem verkeer te verstoren.
Vergelijkingstabel DoH en DoT
| Eigenschap | DNS over HTTPS (DoH) | DNS over TLS (DoT) |
|---|---|---|
| Gebruikte poort | TCP 443 (standaard webverkeer) | TCP 853 (specifiek voor DNS) |
| Blokkeerbaarheid | Zeer moeilijk (mengt met webverkeer) | Eenvoudig (poort 853 blokkeren) |
| Ondersteuning OS | Windows 11, macOS, iOS, Android | Android (Private DNS), Linux |
| Ondersteuning Browsers | Native in Chrome, Firefox, Edge, Brave | Geen native browser ondersteuning |
| Ideaal voor | Maximale privacy en omzeilen van censuur | Systeembrede encryptie op vertrouwde netwerken |
De beste DoH-providers van 2026 (Inclusief IP-adressen en URL’s)
Om DNS over HTTPS in te stellen, heb je een provider nodig die dit protocol ondersteunt. Je kunt niet zomaar de DNS-servers van je lokale internetprovider gebruiken, omdat deze DoH vaak niet of gebrekkig ondersteunen. In 2026 zijn er diverse uitstekende, gratis publieke DNS-resolvers beschikbaar die privacy, snelheid en soms zelfs malware-filtering bieden.
1. Cloudflare (Snelheid en Privacy)
Cloudflare’s 1.1.1.1 is wereldwijd de snelste publieke DNS-resolver dankzij hun enorme Anycast-netwerk. Ze loggen geen IP-adressen en verkopen geen data. Voor gezinnen bieden ze ook varianten die malware (1.1.1.2) of malware en volwassen content (1.1.1.3) blokkeren.
- IPv4:
1.1.1.1en1.0.0.1 - IPv6:
2606:4700:4700::1111en2606:4700:4700::1001 - DoH Template URL:
https://cloudflare-dns.com/dns-query
2. NextDNS (Uitgebreide filtering)
NextDNS is in 2026 de absolute favoriet voor power-users. Het fungeert als een cloud-gebaseerde Pi-hole. Je maakt een account aan en krijgt een unieke DoH-URL. Hiermee kun je zelf bepalen welke trackers, advertenties en domeinen op netwerkniveau geblokkeerd worden.
- DoH Template URL:
https://dns.nextdns.io/JOUW_ID(vervang JOUW_ID door je persoonlijke code)
3. Quad9 (Beveiliging en Malware-blokkade)
Quad9 is een non-profit organisatie gevestigd in Zwitserland. Hun primaire focus is veiligheid: ze blokkeren actief bekende kwaadaardige domeinen, phishing-sites en botnets op basis van tientallen threat-intelligence feeds.
- IPv4:
9.9.9.9en149.112.112.112 - IPv6:
2620:fe::feen2620:fe::fe:9 - DoH Template URL:
https://dns.quad9.net/dns-query
4. Google Public DNS (Betrouwbaarheid)
Google biedt een uiterst betrouwbare en robuuste DNS-dienst. Hoewel sommige gebruikers zich zorgen maken over privacy bij Google, stellen zij expliciet in hun voorwaarden dat DNS-data niet wordt gekoppeld aan je Google-account voor gepersonaliseerde advertenties.
- IPv4:
8.8.8.8en8.8.4.4 - IPv6:
2001:4860:4860::8888en2001:4860:4860::8844 - DoH Template URL:
https://dns.google/dns-query
DNS over HTTPS instellen op Windows 11 (25H2 / 2026 update)
Sinds de introductie van Windows 11 heeft Microsoft native ondersteuning voor DNS over HTTPS ingebouwd. In de recente 2026-updates (zoals versie 25H2) is de interface hiervoor verder gestroomlijnd. Je stelt dit in op besturingssysteem-niveau, wat betekent dat vrijwel alle applicaties op je pc automatisch gebruikmaken van de versleutelde verbinding.
Stap-voor-stap handleiding voor Windows 11
Volg deze stappen om DoH via Windows netwerkinstellingen te activeren:
- Open de Instellingen (gebruik de sneltoets
Win + I). - Klik in het linkermenu op Netwerk en internet.
- Selecteer je actieve verbinding, bijvoorbeeld Wi-Fi of Ethernet. Klik op de naam van de verbinding, niet op de aan/uit-schakelaar.
- Klik op Hardware-eigenschappen (Hardware properties).
- Zoek de sectie Toewijzing van DNS-server (DNS server assignment) en klik op de knop Bewerken.
- Verander de instelling in de dropdown van Automatisch (DHCP) naar Handmatig.
- Zet de schakelaar voor IPv4 op Aan. Er verschijnen nu extra velden.
- Vul bij Voorkeurs-DNS-server het IP-adres in (bijv.
1.1.1.1voor Cloudflare). - Kies in de dropdown onder DNS via HTTPS voor de optie Aan (handmatige sjabloon).
- Vul in het veld dat nu verschijnt de DoH-sjabloon in, bijvoorbeeld
https://cloudflare-dns.com/dns-query. - Herhaal dit proces voor de Alternatieve DNS-server (bijv.
1.0.0.1met dezelfde sjabloon). - Zet ook IPv6 aan en herhaal de stappen met de IPv6-adressen (bijv.
2606:4700:4700::1111). - Klik op Opslaan.
Na het opslaan zie je in het overzichtsscherm staan: Voorkeurs-DNS-versleuteling: Versleuteld (DNS via HTTPS). Dit bevestigt dat de instelling actief is.
Bekende problemen met Windows 11 DoH (zoals nslookup)
Een belangrijk detail voor IT-professionals in 2026: de ingebouwde command-line tool nslookup ondersteunt géén DNS over HTTPS. Als je in de terminal nslookup dnsserverreageertniet.nl typt, zal Windows dit verzoek onversleuteld (via poort 53) verzenden, onafhankelijk van je DoH-instellingen. Dit komt omdat nslookup zijn eigen protocol implementeert en de Windows DNS Client-service volledig negeert. Moderne applicaties en browsers die de Windows API gebruiken, maken wel netjes gebruik van je ingestelde DoH. Schrik dus niet als je via Wireshark onversleutelde pakketjes ziet wanneer je specifiek nslookup gebruikt.
DNS over HTTPS instellen op macOS Sequoia (15.x)
Apple heeft sinds macOS Big Sur systeembrede ondersteuning voor Encrypted DNS toegevoegd. In macOS Sequoia (versie 15.x, actueel in 2026) kun je dit configureren via de vernieuwde Systeeminstellingen, al vereist een écht robuuste implementatie vaak een configuratieprofiel.
Configuratie via Systeeminstellingen
- Klik op het Apple-logo linksboven en kies Systeeminstellingen.
- Klik in de zijbalk op Netwerk.
- Selecteer je actieve verbinding (bijvoorbeeld Wi-Fi) en klik op Details….
- Ga naar het tabblad DNS.
- Klik op de + knop onder de lijst met DNS-servers en voeg de IP-adressen van je DoH-provider toe (bijv.
1.1.1.1en1.0.0.1). - Klik op OK om op te slaan.
Let op: macOS zal automatisch proberen de verbinding te upgraden naar DoH of DoT als de ingevoerde server dit ondersteunt. Apple geeft de voorkeur aan DoT (poort 853) als dit beschikbaar is, en valt anders terug op DoH.
Terminal en configuratieprofielen (.mobileconfig)
Als je exclusief DNS over HTTPS wilt afdwingen en wilt voorkomen dat macOS terugvalt op onversleutelde DNS, moet je in 2026 een configuratieprofiel (.mobileconfig) gebruiken. Dit is een XML-bestand dat de netwerkstack van Apple vertelt om specifiek HTTPS te gebruiken met een vaste URL.
Je kunt eenvoudig een Encrypted DNS-profiel genereren via tools zoals de officiële Apple Configurator of online generators. Zodra je het .mobileconfig bestand downloadt en opent, ga je naar Systeeminstellingen > Privacy en beveiliging > Profielen om het te installeren en te vertrouwen. Vanaf dat moment is al je DNS-verkeer op de Mac gegarandeerd versleuteld.
Waarschuwing voor macOS Sequoia gebruikers: In vroege versies van macOS Sequoia (15.0 en 15.1) zat een bug in de Application Firewall. Als je de optie ‘Blokkeer alle inkomende verbindingen’ had ingeschakeld, blokkeerde de firewall per ongeluk ook de antwoorden op uitgaande DNS-verzoeken. Hierdoor leek het internet volledig onbereikbaar. Zorg ervoor dat je macOS is geüpdatet naar minimaal versie 15.2 of later, waar Apple dit probleem heeft verholpen.
DoH configureren in webbrowsers (Chrome, Firefox, Edge)
Als je niet je hele besturingssysteem wilt aanpassen, of als je op een bedrijfscomputer werkt waar je geen administratorrechten hebt, kun je DoH ook specifiek binnen je webbrowser instellen. De browser negeert dan de DNS-instellingen van Windows of macOS en stuurt zijn eigen versleutelde verzoeken.
Google Chrome (Secure DNS)
Google Chrome heeft DoH standaard ingeschakeld in een ‘opportunistische’ modus. Dit betekent dat Chrome controleert of je huidige DNS-provider DoH ondersteunt en zo ja, de verbinding stilletjes upgrade. Wil je dit handmatig afdwingen naar een specifieke provider?
- Klik op de drie puntjes rechtsboven en ga naar Instellingen.
- Klik links op Privacy en beveiliging en kies Beveiliging.
- Scroll naar beneden naar de sectie Geavanceerd en zoek Beveiligde DNS gebruiken (Use secure DNS).
- Selecteer de optie Met (With) en kies een provider uit het dropdown-menu (bijv. Cloudflare 1.1.1.1) of kies Aangepast om je eigen DoH-URL (zoals die van NextDNS) in te voeren.
Mozilla Firefox (Max Protection)
Firefox was een van de pioniers op het gebied van DoH. In de instellingen van 2026 biedt Mozilla zeer granulaire controle over hoe agressief de browser DoH toepast.
- Klik op het hamburgermenu (drie streepjes) en ga naar Instellingen.
- Kies in het linkermenu Privacy & Beveiliging.
- Scroll helemaal naar onderen naar de sectie DNS over HTTPS.
- Je hebt hier vier opties: Uit, Standaardbescherming, Verhoogde bescherming en Maximale bescherming (Max Protection).
- Kies Maximale bescherming. Firefox zal nu áltijd DoH gebruiken en weigeren een website te laden als de versleutelde DNS-server onbereikbaar is. Zo ben je 100% beschermd tegen DNS-lekken.
- Kies bij ‘Aanbieder selecteren’ voor Cloudflare of NextDNS.
Microsoft Edge
Omdat Edge is gebouwd op dezelfde Chromium-engine als Google Chrome, zijn de stappen vrijwel identiek.
- Ga naar Instellingen via de drie puntjes.
- Klik op Privacy, zoeken en services.
- Scroll naar de sectie Beveiliging.
- Zet de schakelaar bij Beveiligde DNS gebruiken om op te geven hoe het netwerkadres voor websites moet worden opgezocht aan.
- Kies Kies een serviceprovider en selecteer Cloudflare of voer een aangepaste DoH-sjabloon in.
DoH instellen op routers en thuisnetwerken
Het instellen van DoH op elk individueel apparaat (telefoons, laptops, tablets) kan tijdrovend zijn. Bovendien ondersteunen veel smart-tv’s en IoT-apparaten (zoals slimme thermostaten) helemaal geen DoH. De oplossing is om DoH op netwerkniveau in te stellen via je router of een lokale DNS-sinkhole zoals Pi-hole.
Waarom DoH op router-niveau?
Wanneer je DoH op je router configureert, sturen alle apparaten in je netwerk hun onversleutelde DNS-verzoeken (via poort 53) naar de router. De router pakt deze verzoeken op, versleutelt ze via DoH, en stuurt ze via poort 443 naar de buitenwereld (bijv. naar Cloudflare). Dit zorgt ervoor dat je hele thuisnetwerk in één klap beschermd is tegen afluisteren door je internetprovider.
Cloudflared proxy gebruiken
De meeste standaard ISP-routers (zoals de KPN Box of Ziggo Connectbox) ondersteunen geen DoH. Je hebt hiervoor een geavanceerde router nodig (zoals pfSense, OPNsense of Ubiquiti) of een Raspberry Pi met de cloudflared daemon. cloudflared fungeert als een lokale DNS-proxy. Het luistert naar lokaal poort 53 verkeer en stuurt dit via HTTPS door naar de servers van Cloudflare. Zodra je dit hebt draaien, stel je in je hoofdrouter het IP-adres van je Raspberry Pi in als de primaire DNS-server via de DHCP-instellingen.
Nadelen en potentiële problemen van DNS over HTTPS
Hoewel DoH fantastisch is voor de privacy van de eindgebruiker, brengt het in specifieke scenario’s ook uitdagingen met zich mee. Het is belangrijk om deze te begrijpen voordat je het overal blindelings activeert.
Zakelijke netwerken en content filtering
In bedrijfsomgevingen is DoH vaak een nachtmerrie voor systeembeheerders. Bedrijven gebruiken vaak ‘split-horizon DNS’ om interne domeinen (zoals intranet.bedrijf.local) te vertalen naar interne IP-adressen. Als een werknemer DoH inschakelt in zijn browser, stuurt de browser het verzoek voor het intranet rechtstreeks naar Cloudflare. Cloudflare kent dit interne domein uiteraard niet, waardoor de website onbereikbaar wordt.
Daarnaast gebruiken bedrijven oplossingen zoals Infoblox Response Policy Zones (RPZ) of enterprise firewalls (zoals Palo Alto of Fortinet) om malware, phishing en ongepaste content te blokkeren op DNS-niveau. DoH omzeilt deze beveiligingslagen volledig. Om dit tegen te gaan, maken browsers gebruik van ‘canary domains’. Als een netwerkbeheerder een specifiek domein (zoals use-application-dns.net voor Firefox) blokkeert, weet de browser dat het zich op een beheerd netwerk bevindt en schakelt het DoH automatisch uit om de bedrijfsregels te respecteren.
SNI-lekken en de toekomst: Encrypted Client Hello (ECH)
Een veelgemaakte denkfout is dat DoH je 100% anoniem maakt. Zelfs met DoH ingeschakeld, is er nog één zwakke plek: de Server Name Indication (SNI). Tijdens het opzetten van de TLS-verbinding met een website, verstuurt je browser de naam van de website (bijv. dnsserverreageertniet.nl) nog steeds in plain text. Je ISP kan dus via de SNI alsnog zien welke sites je bezoekt. In 2026 wordt dit probleem eindelijk opgelost door de brede uitrol van Encrypted Client Hello (ECH). ECH versleutelt ook de SNI. Pas wanneer je DoH én ECH combineert, is je browsegedrag volledig onzichtbaar voor tussenpersonen.
Veelgestelde vragen
Vertraagt DNS over HTTPS mijn internetverbinding?
In de praktijk merk je hier niets van. Hoewel het opzetten van een HTTPS-verbinding iets meer rekenkracht en tijd (latency) kost dan een onversleuteld UDP-pakketje, maken DoH-providers zoals Cloudflare en Google gebruik van gigantische, wereldwijde Anycast-netwerken. Hierdoor is de responstijd vaak sneller dan de trage, standaard DNS-servers van je lokale internetprovider.
Kan mijn provider nog zien wat ik download als ik DoH gebruik?
DoH verbergt alleen het ‘opzoeken’ van het adres (het DNS-gedeelte). Je provider kan nog steeds de IP-adressen zien waarmee je verbindt. Zonder Encrypted Client Hello (ECH) kan je provider via de SNI ook de domeinnaam zien. DoH voorkomt voornamelijk DNS-manipulatie en maakt passief loggen door de ISP lastiger, maar het is geen vervanging voor een VPN als je volledige anonimiteit zoekt.
Werkt DoH samen met een VPN?
Ja, maar het is vaak overbodig. Een goede commerciële VPN-dienst routeert al je verkeer, inclusief je DNS-verzoeken, door een versleutelde tunnel naar hun eigen DNS-servers. Als je daarnaast DoH aanzet in je browser, stuur je versleutelde DNS-verzoeken dóór de versleutelde VPN-tunnel. Dit werkt prima, maar voegt onnodige overhead toe.
Waarom werkt mijn lokale NAS of intranet niet meer na het instellen van DoH?
Dit komt doordat je browser nu een externe server (zoals Cloudflare) vraagt om je lokale adressen (zoals mijn-nas.local) op te zoeken. De externe server kent jouw thuisnetwerk niet. Om dit op te lossen, moet je in je browserinstellingen (zoals bij Chrome of Firefox) een uitzondering toevoegen voor lokale domeinen, of DoH instellen op router-niveau in plaats van in de browser.
Is DNS over HTTPS hetzelfde als een VPN?
Nee, absoluut niet. Een VPN versleutelt al het netwerkverkeer van je apparaat (inclusief de inhoud van de webpagina’s, downloads en het doel-IP-adres) en verbergt je eigen IP-adres. DNS over HTTPS versleutelt uitsluitend het ’telefoonboek’-verzoek. De daadwerkelijke verbinding met de website loopt buiten DoH om.
Welke poort gebruikt DNS over HTTPS?
DNS over HTTPS maakt gebruik van TCP-poort 443. Dit is exact dezelfde poort die wordt gebruikt voor al het beveiligde HTTPS-webverkeer. Dit in tegenstelling tot klassieke DNS (UDP-poort 53) en DNS over TLS (TCP-poort 853).