Wenn man DNS-over-TLS aktiviert, muss man außerdem die Namen der DoT-Server im Textfeld eintragen. Die Ermittlung der IP-Adressen der DoT-Server erfolgt initial mit den oben konfigurierbaren DNS-Servern für unverschlüsseltes DNS, die man ebenfalls anpassen sollte.
Für einen störungsfreien Betrieb sollte man den "Fallback auf unverschlüsseltes DNS" zulassen! Unter Last geht dann ein Teil der DNS-Anfragen unverschlüsselt raus! Als Sicherheitsfeature ist DNS-over-TLS in Fritz!OS 7.24 eher unbrauchbar. AVM muss noch nachbessern.
Einzelne Anwendungen können individuell festgelegte DNS Server via DNS-over-HTTPS verwenden. Konfiguration für Firefox und Thunderbird ist hier beschrieben.
Linux Distributionen verwenden überwiegend "systemd-resolve" für die DNS Namensauflösung. systemd Version > 245.2-1 (Ubuntu 20.04+, Fedora 32+) beherrscht DNS-over-TLS und man kann es aktivieren, indem man eine Datei "upstream.conf" im Verzeichnis "/etc/systemd/resolved.conf.d/" speichert mit folgendem Inhalt:
Eine Beispielkonfiguration für die Quad9 Server: [Resolve]Die Adresse eines Upstream Servers besteht aus der IP-Adresse und hinter dem # der Namen des Servers für die TLS Authentifizierung. Es können mehrere DNS-Server angegeben werden, indem man mehrere Zeilen mit der Option "DNS=" angibt.
Außerdem darf sich der NetworkManager nicht in die Konfiguration der DNS Server einmischen. Dafür speichert man eine Konfigurationsdatei nodns.conf im Verzeichnis "/etc/NetworkManager/conf.d/" mit folgendem Inhalt: [main]Hinweis: diese Konfiguration ist nicht für Road Warrior geeigent, die unterwegs WiFi Hotspots mit Login Webseite in Hotels oder am Flughafen nutzen wollen.
Die initiale Ermittlung der IP-Adresse des DNS-over-TLS Servers erfolgt mit dem Standard-Resolver, danach wird auf DNS-over-TLS umgeschaltet.
Mit dieser Methode lässt sich auch ein Trackingblocker für iOS und Android realisieren, indem man einen DNS Server mit Werbe- und Trackingfilter auswählt.
iPhones unterstützen verschlüsseltes DNS seit iOS Version 14. Die Konfiguration ist ein bisschen umständlicher als bei Android aber machbar.
Man muss ein Konfigurationsprofil für den DNS-Server im Safari(!) herunterladen.
Für die emfohlenen DNS-Server sind die signierten Profile der Betreiber verlinkt oder Profile erstellt worden. Für andere DNS-Server kann man beim DNS Profil Generator die IP-Adressen und TLS Namen eingeben und sich ein Konfigrationsprofil erstellen lassen.
Nach dem Download vom Konfigurationsprofil kann man den Browser schließen.
Dann ist das Konfigurationsprofil zu installieren: "Einstellungen → Profil geladen" Natürlich wird der Netzverkehr von einem DNS Server gefiltert! Bestätigen: Standardmäßig ist das zuletzt installierte Profil automatisch aktiv. Wenn man mehrere Profile für DNS Server installiert hat, kann man in den Einstellungen unter "Allgemein → VPN & Netzwerk → DNS" das aktive Profil auswählen: