Privacy DNS gids — Quad9, Mullvad DNS en DNS-over-HTTPS
Jouw DNS-provider ziet elke website die je bezoekt. Wissel van Google of je ISP naar een privacy-vriendelijke DNS zoals Quad9 of Mullvad DNS.
Privacy DNS gids
Elke keer dat je een website bezoekt, wordt er een DNS-verzoek gedaan — een vertaling van domeinnaam naar IP-adres. Standaard verloopt dit via je ISP of via Google (8.8.8.8). Die partijen loggen wat je opvraagt, wanneer, en hoe vaak.
Een privacy-vriendelijke DNS-resolver lost dit op: geen logging, geen verkoop van je querydata, en vaak ook bescherming tegen malware-domeinen.
Wat is DNS en waarom maakt het uit?
DNS (Domain Name System) is het telefoonboek van het internet. Als je privacygear.nl typt, vraagt je apparaat aan een DNS-server: “Wat is het IP-adres van privacygear.nl?”
Het probleem: Je ISP ziet standaard al deze vragen. Zelfs als je HTTPS gebruikt voor de inhoud van de website, is de DNS-query zichtbaar — tenzij je DNS-over-HTTPS of DNS-over-TLS gebruikt.
Wat DNS-providers zien:
- Welke domeinen je opvraagt
- Hoe laat
- Hoe vaak
- Van welk IP-adres
Je ISP verkoopt deze data in veel landen legaal aan adverteerders.
DNS-over-HTTPS en DNS-over-TLS
Standaard DNS gaat onversleuteld over het netwerk (UDP port 53) — zichtbaar voor je ISP, router, of iemand die je netwerk afluistert.
DNS-over-HTTPS (DoH): DNS-query’s worden verstuurd als HTTPS-verkeer (port 443). Ononderscheidbaar van normaal webverkeer. Ondersteund door Firefox, Chrome, Windows 11, Android.
DNS-over-TLS (DoT): DNS-query’s worden versleuteld over TLS (port 853). Duidelijker herkenbaar als DNS, maar ook versleuteld. Beter geschikt voor routers en systeem-brede configuratie.
Welke kiezen? Voor browser-niveau: DoH. Voor systeem-breed of router: DoT of DoH met systeeminstellingen.
Quad9 — aanbevolen voor de meeste gebruikers
Quad9 is een non-profitorganisatie opgericht door IBM en de Global Cyber Alliance, gevestigd in Zwitserland (buiten EU en VS jurisdictie).
Waarom Quad9:
- Non-profit — geen advertentiemodel
- Gevestigd in Zwitserland — sterke privacywetgeving
- Blokkeert malware-domeinen via Threat Intelligence feeds
- Geen logging van persoonlijke gegevens
- Onafhankelijk geauditeerd
Quad9 adressen:
| Type | Adres |
|---|---|
| IPv4 | 9.9.9.9 / 149.112.112.112 |
| IPv6 | 2620:fe::fe / 2620:fe::9 |
| DoH | https://dns.quad9.net/dns-query |
| DoT | tls://dns.quad9.net |
Varianten:
9.9.9.9— met malwareblokkering (aanbevolen)9.9.9.10— zonder blokkering, alleen privacy9.9.9.11— met blokkering + ECS (iets sneller door geolocation, iets minder privacy)
Mullvad DNS
Mullvad DNS is de DNS-dienst van Mullvad VPN. Ook zonder Mullvad VPN te gebruiken beschikbaar.
Voordelen:
- Geen logging
- Optioneel met reclame- en trackerblokkering
- Gevestigd in Zweden
Adressen:
| Type | Adres |
|---|---|
| DoH (geen blokkering) | https://dns.mullvad.net/dns-query |
| DoH (ad-blocking) | https://adblock.dns.mullvad.net/dns-query |
| DoT | tls://dns.mullvad.net |
Vergelijking DNS-providers
| Provider | Privacy | Malware-blokkering | Reclame-blokkering | Eigenaar | Locatie |
|---|---|---|---|---|---|
| Quad9 | ✅ Goed | ✅ | ❌ | Non-profit | Zwitserland |
| Mullvad DNS | ✅ Goed | ❌ | Optioneel | Mullvad VPN | Zweden |
| Cloudflare (1.1.1.1) | Redelijk | Via 1.1.1.2 | Via 1.1.1.3 | Cloudflare Inc. | VS |
| Google (8.8.8.8) | ❌ Slecht | ❌ | ❌ | VS | |
| NextDNS | ✅ Goed | ✅ | ✅ | NextDNS Inc. | VS |
| AdGuard DNS | ✅ Goed | ✅ | ✅ | AdGuard | Cyprus |
Cloudflare 1.1.1.1 is snel en beter dan Google, maar Cloudflare is een Amerikaans bedrijf. Ze loggen beperkt maar bewaren data 25 uur. Voor serieuze privacygebruikers: kies Quad9 of Mullvad DNS.
Instellen op verschillende apparaten
Android
Systeembrede privé-DNS (Android 9+):
- Instellingen → Netwerk → Geavanceerd → Privé-DNS
- Kies “Hostnaam van privé-DNS-provider”
- Vul in:
dns.quad9.net
Dit versleutelt alle DNS op je Android-toestel, ook buiten apps.
iOS / iPadOS
iOS heeft geen ingebouwde DoH/DoT instelling. Gebruik een configuratieprofiel:
- Download het Quad9 profiel van
quad9.net/service/about - Open in Safari → Instellingen → Gedownload profiel → Installeer
- Instellingen → Algemeen → VPN en apparaatbeheer → Aktiveer het profiel
Alternatief: gebruik een DNS-filtering app zoals AdGuard voor iOS.
Windows 11
- Instellingen → Netwerk en internet → WiFi/Ethernet → Bewerken
- DNS-serverinwijzing → Handmatig
- IPv4:
9.9.9.9en149.112.112.112 - Kies “DNS via HTTPS (automatisch sjabloon)“
macOS
- Systeeminstellingen → Netwerk → selecteer verbinding → Details
- DNS → + → Voeg
9.9.9.9en149.112.112.112toe - Voor DoH/DoT: gebruik een meerDNS-profiel of configureer via Terminal
Router (OPNsense)
In OPNsense: Services → Unbound DNS → DNS over TLS
Naam: Quad9
Server IP: 9.9.9.9
Server Port: 853
Verify CN: dns.quad9.netRouter-brede DNS betekent dat alle apparaten op je netwerk beschermd zijn, ook smart TV’s en IoT-apparaten die je niet individueel kunt configureren.
Firefox
- Instellingen → Privacy en beveiliging → DNS via HTTPS
- Activeer DNS via HTTPS
- Kies “Aangepast” →
https://dns.quad9.net/dns-query
AdGuard Home — zelfgehost DNS met blokkering
Als je een thuisserver of Raspberry Pi hebt, is AdGuard Home een krachtigere optie: een lokale DNS-resolver met configureerbare blokkerlijsten.
Voordelen ten opzichte van externe DNS:
- Alle logging blijft lokaal
- Bloklijsten volledig aanpasbaar
- Statistieken per apparaat
- Kan upstream naar Quad9 forwarden via DoH/DoT
Installatie (Docker):
docker run -d \
--name adguardhome \
-p 53:53/tcp -p 53:53/udp \
-p 3000:3000/tcp \
-v /opt/adguardhome/conf:/opt/adguardhome/conf \
-v /opt/adguardhome/work:/opt/adguardhome/work \
adguard/adguardhomeNavigeer naar http://[server-ip]:3000 voor de configuratiewizard.
Zie ook de AdGuard Home review voor een volledige bespreking.
Limieten van DNS-privacy
DNS-encryptie lost één probleem op, maar niet alles:
Wat DNS-privacy NIET oplost:
- SNI (Server Name Indication): Als je verbinding maakt met een HTTPS-website, is de domeinnaam zichtbaar in het TLS-handshake, tenzij Encrypted Client Hello (ECH) actief is
- IP-adres tracking: Je IP-adres blijft zichtbaar voor websites die je bezoekt
- Tracking via cookies/fingerprinting: DNS zegt niets over wat er daarna gebeurt op de website
Voor volledige bescherming:
- DNS-privacy: Quad9 of Mullvad DNS
- IP-adres: VPN (Mullvad, ProtonVPN) of Tor
- Tracking: uBlock Origin, Firefox + strict modus
DNS-privacy is één laag — geen complete oplossing.
Verificatie — werkt het?
Test of je DNS-instelling werkt:
Browsertest:
- Bezoek
https://1.1.1.1/help— toont welke DNS-resolver je gebruikt - Bezoek
https://dns.quad9.net/dns-check— Quad9-verificatie
Commandoregel:
# Controleer welke DNS-server je gebruikt
nslookup whoami.akamai.net
# Test Quad9 direct
dig @9.9.9.9 example.comDNS-lektest:
Gebruik dnsleaktest.com om te verifiëren dat je DNS niet lekt via je ISP, ook wanneer je een VPN gebruikt.
Conclusie
Wissel vandaag van Google DNS (8.8.8.8) naar Quad9 (9.9.9.9). Het kost vijf minuten en je ISP heeft directe inzage in je browsegedrag niet meer. Activeer DNS-over-HTTPS voor versleuteld transport.
Voor thuisgebruikers met een server of Raspberry Pi: AdGuard Home met Quad9 als upstream geeft de meeste controle en statistieken.
Zie ook:
- AdGuard Home review — zelfgehoste DNS-blokkering
- OPNsense en Protectli Vault review — router-brede DNS-filtering
- Tailscale mesh VPN gids — DNS via eigen netwerk
- Browser vergelijking: Firefox, Brave en Tor — browser keuze beïnvloedt ook DNS-privacy