@57b43f54 Ja? also nochmal:
normalerweise ist DoT ja eher sone URL die wiederum selbst erstmal aufgelößt werden müßte bevor die irgendwas verschlüsselt kann! 

 @57b43f54 

die fritzbox nutzt also DNS53 um z.B https://quad9.net/dns-query aufzulösen. 

Und dann gehen alle anfragen verschlüßelt zu dem Server 9.9.9.9 oder einem anderen. 

Okay. 

 Fallback? 
DoH server#2 > DNS53

Welche CA sind denn hardcoded auf der FB? Die ganzen "gefährlichen Herkunftsländer"...mit politisch verfolgten..? wäre in echt voll komisch, naja. Mozilla und Google tun vertrauen den per default. Lohnt sich die Liste zu lesen. unter Android in den Zertifikatsei