Quad9 is een gratis, publieke DNS-resolver die bekendstaat om zijn ingebouwde malware-blokkade en strikte privacybeleid. Het primaire IPv4-adres is 9.9.9.9 en de secundaire server is 149.112.112.112. Door je DNS-verkeer via Quad9 te sturen, worden bekende phishing- en malwaredomeinen automatisch geblokkeerd voordat ze je apparaten bereiken. In tegenstelling tot de standaard DNS-servers van je internetprovider, versleutelt Quad9 je aanvragen via moderne protocollen zoals DNS-over-HTTPS (DoH) en DNS-over-QUIC (DoQ), en worden je persoonlijke IP-adressen niet opgeslagen op hun servers.
Wat is Quad9 en waarom zou je overstappen?
Wanneer je een internetabonnement afsluit, wijst je provider (zoals [INTERNAL:ziggo-dns-wijzigen] of [INTERNAL:kpn-dns-wijzigen]) automatisch hun eigen DNS-servers toe aan je modem. Deze standaardservers zijn vaak onversleuteld, missen geavanceerde beveiligingsfilters en stellen providers in theorie in staat om je surfgedrag te monitoren of te loggen voor commerciële doeleinden.
Quad9 biedt hier een krachtig alternatief voor. De dienst werd in 2017 gelanceerd als een samenwerkingsverband tussen IBM, Packet Clearing House (PCH) en de Global Cyber Alliance. In 2021 is de organisatie volledig overgegaan in een onafhankelijke Zwitserse stichting. Deze verhuizing naar Zwitserland was een bewuste keuze om gebruikers te beschermen onder de strenge Zwitserse privacywetgeving, ver weg van jurisdicties die datadeling kunnen afdwingen.
De belangrijkste redenen om in 2026 over te stappen naar Quad9 zijn:
- Automatische dreigingsblokkade: Quad9 werkt samen met tientallen onafhankelijke cyber-intelligence partners. Zodra een domein wordt geregistreerd als onderdeel van een botnet of phishingcampagne, weigert Quad9 de DNS-resolutie en retourneert het een NXDOMAIN-fout.
- Geen IP-logging: Je bron-IP-adres wordt direct na verwerking uit het werkgeheugen gewist en belandt nooit in een permanente logfile of database.
- Ondersteuning voor encryptie: Quad9 ondersteunt alle moderne versleutelingsprotocollen, waaronder DoH, DoT, DoH3 en DoQ, om afluisteren op lokale netwerken te voorkomen.
De actuele Quad9 IP-adressen en profielen (2026)
Quad9 is niet slechts één IP-adres. De stichting beheert meerdere IP-reeksen die gekoppeld zijn aan specifieke configuraties, afhankelijk van je behoefte aan beveiliging en routeringsefficiëntie. Voor de meeste thuisgebruikers en bedrijven is het standaard ‘Secure’ profiel de beste keuze.
1. Secure profiel (Aanbevolen)
Dit is de standaarddienst. Het biedt malware-blokkade, DNSSEC-validatie en heeft EDNS Client Subnet (ECS) uitgeschakeld voor maximale privacy.
- Primair IPv4:
9.9.9.9 - Secundair IPv4:
149.112.112.112 - Primair IPv6:
2620:fe::fe - Secundair IPv6:
2620:fe::9 - DoH / DoT Endpoint:
dns.quad9.net
2. Secure profiel mét ECS
Dit profiel biedt dezelfde malware-blokkade en DNSSEC-validatie als het standaardprofiel, maar stuurt een deel van je IP-subnet mee naar de autoritatieve server via ECS. Dit helpt Content Delivery Networks (CDN’s) om je naar de fysiek dichtstbijzijnde server te sturen, wat snellere laadtijden oplevert ten koste van een klein stukje privacy.
- Primair IPv4:
9.9.9.11 - Secundair IPv4:
149.112.112.11 - Primair IPv6:
2620:fe::11 - Secundair IPv6:
2620:fe::fe:11 - DoH / DoT Endpoint:
dns11.quad9.net
3. Unsecured profiel (Geen filtering)
Dit profiel blokkeert geen malware en is puur bedoeld voor diagnostische doeleinden of voor netwerkbeheerders die hun eigen filtering op een firewall (zoals pfSense of Fortinet) willen uitvoeren, maar wel de infrastructuur van Quad9 willen gebruiken.
- Primair IPv4:
9.9.9.10 - Secundair IPv4:
149.112.112.10 - Primair IPv6:
2620:fe::10 - Secundair IPv6:
2620:fe::fe:10 - DoH / DoT Endpoint:
dns10.quad9.net
4. Unsecured profiel mét ECS
Dit is de variant zonder malware-blokkade, maar mét de ECS-routeringsvoordelen. Handig voor snelle, ongefilterde verbindingen.
- IPv4:
9.9.9.12 - IPv6:
2620:fe::12 - DoH / DoT Endpoint:
dns12.quad9.net
Belangrijke technische updates van Quad9 in 2026
Het DNS-landschap evolueert snel, en in 2025 en 2026 heeft Quad9 diverse fundamentele wijzigingen doorgevoerd in hun infrastructuur om de veiligheid en prestaties te garanderen. Let op deze wijzigingen als je oudere hardware of configuratiescripts gebruikt.
DNSSEC-validatie op alle endpoints (vanaf juni 2026)
Historisch gezien voerden de ongefilterde profielen (zoals 9.9.9.10 en 9.9.9.12) geen [INTERNAL:wat-is-dnssec] (DNSSEC) validatie uit. Dit verandert definitief. Vanaf 15 juni 2026 dwingt Quad9 strikte DNSSEC-validatie af op alle service-endpoints. Dit betekent dat als een domein een ongeldige of gemanipuleerde cryptografische handtekening heeft, Quad9 een SERVFAIL retourneert, ongeacht welk IP-profiel je gebruikt. Deze stap wordt gezet omdat DNSSEC wordt gezien als een absolute basisvereiste voor een veilig internet, en niet langer als een optionele feature.
Einde ondersteuning voor DoH via HTTP/1.1
Op 15 december 2025 heeft Quad9 de ondersteuning voor DNS-over-HTTPS (DoH) via het verouderde HTTP/1.1 protocol stopgezet. Moderne browsers (Chrome, Firefox, Safari) en besturingssystemen (Windows 11, macOS, iOS, Android) gebruiken standaard al HTTP/2 of hoger, waardoor de meeste gebruikers hier niets van merkten. Echter, bepaalde oudere routers (zoals specifieke MikroTik-configuraties) die DoH implementeerden zonder HTTP/2-ondersteuning, verloren hun verbinding. Als je router sinds eind 2025 DNS-problemen heeft met DoH, moet je overschakelen naar DNS-over-TLS (DoT) of je firmware updaten.
Lancering van DoH3 en DoQ
In maart 2026 heeft Quad9 wereldwijd ondersteuning geactiveerd voor DNS over HTTP/3 (DoH3) en DNS over QUIC (DoQ). Beide protocollen draaien op QUIC (via UDP) in plaats van traditionele TCP-verbindingen. Volgens de specificaties in RFC 9250 zorgt dit voor aanzienlijk lagere latentie, vooral op mobiele verbindingen waar IP-adressen vaak wisselen (bijvoorbeeld bij de overgang van Wi-Fi naar 5G). DoQ is beschikbaar via poort 853.
Hoe Quad9 je beschermt tegen malware en phishing
Het beveiligingsmodel van Quad9 werkt op de achtergrond, zonder dat je software hoeft te installeren. Wanneer je een website bezoekt, controleert de DNS-resolver het opgevraagde domein razendsnel tegen een geconsolideerde database van meer dan twintig onafhankelijke threat intelligence-partners. Als het domein is gemarkeerd als kwaadaardig, blokkeert Quad9 de verbinding.
In de eerste helft van 2026 blokkeerde Quad9 astronomische hoeveelheden verkeer. Een opvallend voorbeeld was het Mirai-botnet, waarbij Quad9 in één maand tijd meer dan 1,8 miljard DNS-queries naar één specifiek commando-en-controledomein (C2) blokkeerde. Ook de Omnatour-malvertising netwerken, die browserinstellingen kapen en riskware verspreiden, waren goed voor miljarden geblokkeerde aanvragen.
Omdat de blokkade plaatsvindt op DNS-niveau, werkt het apparaat-onafhankelijk. Of je nu een slimme thermostaat, een smart-tv of een Windows-laptop gebruikt; zolang het apparaat 9.9.9.9 gebruikt, is het beschermd tegen de geregistreerde dreigingen. Mocht Quad9 per ongeluk een legitieme website blokkeren (een false positive), dan kun je dit via hun website melden, waarna de blokkade vaak binnen enkele uren wordt opgeheven.
Privacy en de Zwitserse jurisdictie (GDPR-compliance)
Veel publieke DNS-diensten, waaronder [INTERNAL:google-dns-8-8-8-8], verzamelen geanonimiseerde data over je zoekgedrag. Hoewel Google DNS veilig is, valt het onder Amerikaanse wetgeving. Quad9 onderscheidt zich door zijn juridische basis in Zwitserland. Dit land heeft enkele van de strengste privacywetten ter wereld, die perfect aansluiten bij de Europese GDPR-richtlijnen.
Het privacybeleid van Quad9 is glashelder: ze loggen geen IP-adressen van gebruikers. Wanneer een DNS-verzoek binnenkomt op een Quad9-server, wordt het bron-IP-adres direct gestript zodra het antwoord is teruggestuurd. De enige data die Quad9 bewaart, is sterk geaggregeerde telemetrie op stads- of landniveau (bijvoorbeeld: “er waren vandaag 100.000 verzoeken naar domein X vanuit de regio Amsterdam”). Dit maakt het onmogelijk om surfgedrag terug te herleiden naar een individueel huishouden of bedrijf.
Snelheid in Nederland: Quad9 vs Cloudflare vs Google
Een veelgestelde vraag is of het gebruik van een beveiligde DNS-server je internet vertraagt. Het antwoord is nee, mits de provider een goed Anycast-netwerk heeft. Quad9 maakt gebruik van Anycast-routering, wat betekent dat het IP-adres 9.9.9.9 wordt gedeeld door honderden servers wereldwijd. Als je vanuit Nederland een DNS-verzoek doet, routeert het netwerk je automatisch naar het fysiek dichtstbijzijnde datacenter, wat in de meeste gevallen een server op de AMS-IX (Amsterdam Internet Exchange) is.
Hier is een realistische vergelijking van de DNS-latentie in Nederland (gemeten in 2026 vanaf een glasvezelverbinding):
| DNS Provider | IP-adres | Gemiddelde Latentie (NL) | Malware-blokkade standaard? |
|---|---|---|---|
| [INTERNAL:cloudflare-1-1-1-1] | 1.1.1.1 | ~4 – 7 ms | Nee (vereist 1.1.1.2) |
| Quad9 | 9.9.9.9 | ~9 – 14 ms | Ja |
| Google Public DNS | 8.8.8.8 | ~10 – 15 ms | Nee |
| Lokale ISP (Ziggo/KPN) | Automatisch | ~5 – 12 ms | Vaak beperkt |
Hoewel Cloudflare in ruwe milliseconden vaak fractioneel sneller is, is het verschil van 5 milliseconden voor een mens onmerkbaar. De toegevoegde waarde van Quad9 zit in de out-of-the-box beveiliging die direct actief is zonder dat je specifieke ‘family’ of ‘security’ IP-adressen hoeft op te zoeken.
Wat is EDNS Client Subnet (ECS) en waarom staat het uit?
Een technisch detail dat Quad9 uniek maakt, is de omgang met EDNS Client Subnet (ECS). ECS is een DNS-extensie die een deel van jouw IP-adres (je subnet) meestuurt naar de autoritatieve DNS-server van de website die je bezoekt. Content Delivery Networks (CDN’s) gebruiken dit om te bepalen waar je je geografisch bevindt, zodat ze je kunnen doorsturen naar de dichtstbijzijnde videostreaming- of downloadserver.
Het nadeel van ECS is dat het een deel van je privacy opoffert; de ontvangende server krijgt immers een hint over je locatie en netwerk. Om die reden heeft Quad9 besloten om ECS standaard uit te schakelen op het primaire 9.9.9.9 adres. Omdat Quad9 echter honderden eigen servers over de hele wereld heeft, routeren de meeste CDN’s je alsnog correct op basis van het IP-adres van de Quad9-server zelf (die vaak in dezelfde stad staat als jij).
Merk je toch dat videostreams of downloads traag starten omdat je naar een server in een ander land wordt gestuurd? Dan kun je wisselen naar het ECS-enabled profiel van Quad9 door 9.9.9.11 in te stellen. Je behoudt dan de malware-blokkade, maar levert een fractie privacy in voor betere CDN-routering.
Encrypted DNS: DoT, DoH, DoH3 en DoQ gebruiken
Het instellen van alleen de IP-adressen voorkomt niet dat je internetprovider of een hacker op een openbaar wifi-netwerk kan zien welke domeinen je opvraagt. Daarvoor moet je het DNS-verkeer versleutelen. Quad9 ondersteunt in 2026 alle toonaangevende encryptiestandaarden. Je kunt deze configureren in je browser, besturingssysteem of router.
- DNS over HTTPS (DoH): Verpakt je DNS-verzoeken in normaal HTTPS-verkeer via poort 443. Dit is ideaal voor bedrijfsnetwerken waar andere poorten vaak geblokkeerd zijn. Gebruik de URL:
https://dns.quad9.net/dns-query. - DNS over TLS (DoT): Versleutelt DNS via een specifieke poort (853). Dit is efficiënter dan DoH en wordt veel gebruikt door Android-telefoons en moderne routers. Gebruik de hostnaam:
dns.quad9.net. - DNS over QUIC (DoQ) / DoH3: De nieuwste standaarden uit 2026. Ze werken over UDP via poort 853 en voorkomen het ‘head-of-line blocking’ probleem dat TCP-verbindingen hebben. Dit zorgt voor veel snellere resoluties op haperende verbindingen. Moderne clients upgraden automatisch naar DoH3 als ze verbinding maken met de DoH-endpoint van Quad9.
Stap-voor-stap Quad9 instellen op Windows 11
In Windows 11 is het instellen van versleutelde DNS (DoH) standaard ingebouwd, waardoor je [INTERNAL:dns-server-instellen] binnen enkele minuten veilig kunt afronden. Volg deze stappen om Quad9 via DoH te activeren in 2026:
- Open de Windows Instellingen (Windows-toets + I).
- Navigeer naar Netwerk en internet en klik op Wi-Fi of Ethernet, afhankelijk van je verbinding.
- Klik op de naam van je actieve netwerk of kies Hardware-eigenschappen.
- Zoek naar de sectie Toewijzing van DNS-server en klik op de knop Bewerken.
- Verander de instelling van Automatisch (DHCP) naar Handmatig.
- Zet de schakelaar voor IPv4 aan.
- Vul bij Voorkeurs-DNS het adres
9.9.9.9in. - Belangrijk: Zet de optie DNS via HTTPS (DoH) op Alleen versleuteld (DoH).
- Vul bij Alternatieve DNS het adres
149.112.112.112in en zet ook deze op Alleen versleuteld. - (Optioneel) Zet IPv6 aan en vul
2620:fe::feen2620:fe::9in, eveneens met DoH ingeschakeld. - Klik op Opslaan. Je DNS-verkeer loopt nu volledig versleuteld via Quad9.
Quad9 instellen op macOS en routers
Ook op Apple-apparaten en netwerkrouters is Quad9 eenvoudig te configureren.
Configuratie voor macOS (Sequoia / Sonoma)
Apple ondersteunt native DoH en DoT, maar dit wordt vaak het makkelijkst geconfigureerd via een configuratieprofiel. Quad9 publiceert jaarlijks nieuwe .mobileconfig bestanden. In januari 2026 heeft Quad9 nieuwe profielen uitgebracht die specifiek compatibel zijn met macOS 14.6 en nieuwer, na een breaking change in het besturingssysteem van Apple.
- Ga naar de officiële website van Quad9 en download het nieuwste macOS
.mobileconfigbestand voor DoH of DoT. - Open het gedownloade bestand. macOS geeft een melding dat er een profiel is gedownload.
- Ga naar Systeeminstellingen > Privacy en beveiliging > Profielen.
- Klik op het Quad9-profiel en kies Installeer. Bevestig met je wachtwoord of Touch ID.
- Je Mac stuurt nu al het systeemwijde DNS-verkeer versleuteld naar Quad9.
Configuratie op een router (FritzBox / Asus / Ubiquiti)
Als je wilt dat elk apparaat in huis (inclusief smart-tv’s en IoT-apparaten) profiteert van de malware-blokkade, stel je Quad9 in op je router. Dit doe je door de DHCP-instellingen aan te passen.
- Log in op de webinterface van je router (vaak via
192.168.1.1of192.168.178.1). - Navigeer naar de LAN of DHCP-server instellingen.
- Zoek naar de velden Primary DNS en Secondary DNS.
- Vul hier
9.9.9.9en149.112.112.112in. - Sla de instellingen op en herstart de router. Apparaten die opnieuw verbinding maken, krijgen automatisch de Quad9-servers toegewezen. Let op: dit is standaard ongecodeerd (Do53), tenzij je router DoT ondersteunt (zoals bij moderne FritzBox-modellen).
Veelgestelde vragen
Is Quad9 sneller dan de DNS van mijn internetprovider?
Dat hangt af van je locatie en provider. In Nederland zijn de DNS-servers van Ziggo of KPN vaak fysiek iets dichterbij, wat een verschil van 2 tot 5 milliseconden oplevert. Dit verschil is echter verwaarloosbaar. De winst van Quad9 zit niet in pure snelheid, maar in de robuuste malware-blokkade en het feit dat je provider je surfgedrag niet meer kan inzien.
Blokkeert Quad9 ook advertenties of porno?
Nee. Quad9 is strikt een beveiligingsfilter en blokkeert uitsluitend domeinen die geassocieerd worden met malware, ransomware, botnets en phishing. Het blokkeert geen legitieme advertentienetwerken en heeft geen ingebouwd filter voor volwassenen. Als je op zoek bent naar netwerkbrede advertentieblokkade, kun je beter kijken naar [INTERNAL:adguard-dns-instellen] of een lokale Pi-hole. Voor kinderbescherming is [INTERNAL:opendns-instellen] of CleanBrowsing een betere keuze.
Waarom werkt mijn DoH-verbinding niet meer sinds eind 2025?
Op 15 december 2025 heeft Quad9 de ondersteuning voor DNS-over-HTTPS via het oudere HTTP/1.1 protocol stopgezet. Als je een oudere router of een verouderde DoH-client gebruikt die geen HTTP/2 of HTTP/3 ondersteunt, zal de verbinding falen. De oplossing is om je firmware te updaten, of in de instellingen van je apparaat over te schakelen naar DNS-over-TLS (DoT) via poort 853, aangezien DoT geen HTTP-laag gebruikt.
Wat moet ik doen als een veilige website wordt geblokkeerd?
Hoewel Quad9 een zeer lage ‘false positive’ ratio heeft, kan het voorkomen dat een legitiem domein tijdelijk wordt geflagged, bijvoorbeeld als de website recent gehackt is geweest. Je kunt dit controleren en melden via de officiële Quad9-website. Na een handmatige controle door hun security-team wordt de blokkade doorgaans snel opgeheven.
Hoe controleer ik of mijn apparaten daadwerkelijk Quad9 gebruiken?
Je kunt eenvoudig testen of je netwerk correct is geconfigureerd door in je browser naar https://on.quad9.net te navigeren. Als alles goed is ingesteld, toont deze pagina een bevestigingsbericht dat je succesvol gebruikmaakt van de Quad9 infrastructuur. Krijg je een foutmelding, controleer dan of er geen andere DNS-instellingen actief zijn in je browser (zoals de ingebouwde ‘Secure DNS’ van Chrome) die je systeeminstellingen overschrijven.