Hoe schakel ik DNS over HTTPS (DoH) in op Windows 11?

DNS over HTTPS (DoH) instellen in Windows kan nogal lastig zijn, vooral omdat DNS-verkeer standaard in platte tekst wordt verzonden. Dit biedt veel ruimte voor stiekeme onderschepping of manipulatie door derden. Als u zich zorgen maakt over uw privacy of gewoon van dat label ‘niet versleuteld’ af wilt, zorgt het inschakelen van DoH ervoor dat uw DNS-query’s worden verpakt in een versleutelde HTTPS-verbinding. Maar eerlijk gezegd is het proces niet super eenvoudig, zeker niet in Windows 11, waar eindelijk ondersteuning voor is toegevoegd. Hieronder een overzicht van wat voor mij werkte en wat u kunt proberen als er iets misgaat of als het niet helemaal naar behoren werkt.

Hoe schakel ik DNS over HTTPS in via de Windows-interface?

Gebruik het menu Instellingen om DoH voor uw netwerk in te schakelen.

  • Ga naar Instellingen —> Netwerk en internet —> selecteer je netwerkinterface (Ethernet of Wi-Fi).
  • Klik op Eigenschappen (niet alleen op de verbindingsnaam, maar klik door naar de specifieke details).
  • Scrol omlaag naar het gedeelte voor het toewijzen van DNS-servers en klik op Bewerken.
  • In het dropdownmenu voor ‘DNS bewerken’ kiest u ‘Handmatig’, schakelt u IPv4 of IPv6 in, afhankelijk van wat u nodig hebt, en voert u vervolgens de IP-adressen van de DNS-servers in die DoH ondersteunen, zoals 1.1.1.1 en 1.0.0.1 van Cloudflare of 8.8.8.8 en 8.8.4.4 van Google.
  • Nu komt het lastige gedeelte: de instelling om DoH specifiek in de Windows-interface in te schakelen is niet direct duidelijk. In tegenstelling tot Windows Server of sommige browsers heeft Windows 11 geen expliciete schakelaar in de netwerkinterface voor “Versleutelde DNS inschakelen”.
  • Maar in Windows 11 kun je dit afdwingen door PowerShell-opdrachten uit te voeren (zie hieronder).In sommige configuraties gebruikt Windows je DNS-server met DoH als het herkent dat de server dit ondersteunt, maar dit is niet gegarandeerd zonder verdere aanpassingen.

Opmerking: Als u wilt dat Windows expliciet de voorkeur geeft aan DoH, moet u mogelijk registerinstellingen aanpassen of opdrachtregelprogramma’s gebruiken. Want Windows maakt het natuurlijk altijd ingewikkelder dan nodig.

In Windows 11 kunt u dit configureren via PowerShell.

Dit is wat mij geholpen heeft om DoH werkend te krijgen. Je kunt je favoriete DoH-server aan het systeem toevoegen en het gebruik ervan afdwingen via commandoregels. Aan de andere kant melden sommige mensen dat deze commando’s op bepaalde laptops of configuraties met beheerdersrechten moeten worden uitgevoerd, en dat er daarna een herstart nodig is. Bijvoorbeeld, om de DoH-server van Cloudflare toe te voegen met de URL voor filtering (gezinsmodus):

$DNSServer = "1.1.1.3" # or 1.0.0.3 for family DNS Add-DnsClientDohServerAddress -ServerAddress $DNSServer -DohTemplate "https://family.cloudflare-dns.com/dns-query" -AllowFallbackToUdp $False -AutoUpgrade $True

Dit zou de DoH-server moeten toevoegen en ervoor zorgen dat Windows deze gebruikt voor versleutelde query’s. Werk daarna uw interface-instellingen bij om deze server als voorkeursserver in te stellen.

Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses $DNSServer

Vervolgens kunt u het gebruik van DoH expliciet afdwingen door het register aan te passen of via Groepsbeleid. Voor het register (voer dit wederom uit als beheerder):

New-ItemProperty -Path "HKLM:\System\CurrentControlSet\Services\Dnscache\Parameters" -Name "EnableAutoDoh" -Value 2 -PropertyType DWord -Force

Deze vlag (waarde 2) zou de automatische DoH-ondersteuning moeten inschakelen. Op sommige machines werkt dit de eerste keer niet, maar wel na een herstart. Ik weet niet waarom, maar het is het proberen waard.

Hoe controleer ik of DoH werkt op Windows?

Controleer met een netwerkverkeersmonitor.

Op Windows kun je de ingebouwde pktmon.exetool gebruiken om te controleren of DNS-query’s versleuteld zijn. Het is wat omslachtig, maar het werkt. Verwijder eerst alle bestaande filters:

pktmon filter remove

Voeg vervolgens een filter toe voor poort 53 (normale DNS, UDP of TCP):

pktmon filter add -p 53

Start realtime monitoring:

pktmon start --etw -m real-time

Als alles correct is geconfigureerd, zou je weinig tot geen DNS-verkeer op poort 53 moeten zien. Dit suggereert dat al het DNS-verkeer via poort 443 wordt verzonden, versleuteld in HTTPS. Ondanks de af en toe voorkomende verwarrende fouten of vertragingen, wees dit er over het algemeen op dat DoH op mijn systeem naar behoren werkte.

Een andere manier is om de Secure DNS-controle te bezoeken. Deze tool kan u vertellen of uw DNS-query’s versleuteld zijn en of DoH actief is.

En natuurlijk hebben browsers zoals Chrome, Firefox en Edge hun eigen instellingen om DoH in te schakelen, wat een extra versleutelingslaag toevoegt aan je browserspecifieke DNS. Maar dat is weer een heel ander verhaal.

Eerlijk gezegd is het hele proces nogal rommelig, vooral omdat Windows de implementatie op z’n zachtst gezegd vaag houdt. Maar als het je lukt om het werkend te krijgen, hoef je je een stuk minder zorgen te maken over stiekeme derden die je DNS-verkeer afluisteren. Of tenminste, dat is de bedoeling.

Samenvatting

  • Gebruik PowerShell-opdrachten om DoH-servers toe te voegen en te beveiligen.
  • Wijzig de DNS-instellingen van de netwerkadapter zodat deze DoH-compatibele IP-adressen gebruikt.
  • Controleer het netwerkverkeer met pktmon.exe om te zien of DNS-query’s versleuteld zijn.
  • Sommige aanpassingen vereisen mogelijk een herstart van de computer of wijzigingen in het register (wees voorzichtig!).
  • Browsers verwerken DoH onafhankelijk, dus zorg ervoor dat je het daar ook inschakelt als dat nodig is.

Samenvatting

DNS over HTTPS in Windows aan de praat krijgen is niet super intuïtief, maar met wat commandoregel-trucs is het wel mogelijk. Soms werkt het niet meteen, dus een herstart of het controleren van je DNS-instellingen kan helpen. Eenmaal geconfigureerd, zijn je DNS-query’s veel moeilijker te onderscheppen, wat een opluchting is. Ik hoop dat dit iemand helpt om eindelijk soepel versleutelde DNS te krijgen. Succes!