Bei Pi-hole hat man kürzlich die Weboberfläche, den Start des FTL-Dienstes, die Datenbank und die Listenverarbeitung optimiert.
Die Software Pi-hole ist ein netzwerkweiter DNS-basierter Werbe- und Tracking-Blocker. Statt Werbung im Browser oder per Add-on zu blockieren, setzt Pi-hole eine Ebene tiefer an: beim Domain Name Server (DNS). Dadurch wirkt sie auf allen Geräten im Netzwerk. So auch bei Smart-TVs, Smartphones oder Apps. Man installiert die Software zumeist auf einem stromsparenden Raspberry Pi*.
Was hat man überarbeitet?
Seit Bekanntwerden des XSS-Bugs rund um den CVE-2025-53533 hat man bei Pi-hole vor allem die Weboberfläche, den Start des FTL-Dienstes, die Datenbank und die Listenverarbeitung optimiert. Bei Pi-hole steht die Abkürzung FTL für „Faster Than Light“. Das ist kein Marketing-Gag, sondern der Name eines zentralen Kernprozesses. Dieser ist verantwortlich für den DNS-Resolver in Kombination mit der Datenbank-Engine.
Entwickler verbessern Pi-hole Stück für Stück
Unser letzter Artikel zum Thema Pi-hole drehte sich um die XSS-Schwachstelle CVE-2025-53533 und die Admin-Oberfläche. Damals wurde deutlich, dass ein solcher Bug nicht „nur im Browser“ bleibt, wenn dort Sessions und Aktionen betroffen sind.
Seitdem ist Pi-hole nicht plötzlich ein anderes Projekt geworden. Es hat immer noch die gleiche und extrem veraltete, nicht mehr zeitgemäße Basis. Genau diese nervigen Stellen, die Pi-hole so altbacken und nicht mehr aktuell aussehen lassen, hat man etwas verbessert. Man arbeitete an den Startzeiten, am Datenbank-Verhalten, Listen-Updates und der Weboberfläche. Das gilt insbesondere, wenn man öfter mal reinschaut und nicht nur mit dem Pi-Hole-Add-on fürs Smartphone.
Fehlerbehebungen der Weboberfläche
Zwei weitere Sicherheitsprobleme in der Weboberfläche haben die Entwickler später endlich behoben.
Dazu kommt eine kleine Fehlerbehebung, die man merkt, wenn man 2FA nutzt. Warum man 2FA gerade bei Pi-Hole nutzen sollte, ist eine andere Sache. Doch immerhin hat man den Fehler beseitigt. Das TOTP-Feld kann jetzt als One-Time-Code erkannt werden, sodass Browser und Passwort-Manager nicht mehr so tun, als wäre es ein normales Passwortfeld, wodurch das Autofill Probleme verursachen konnte.
Und den Query-Log hat man an zwei Stellen angepasst. Erstens wurde der „All Time“-Zeitraum korrigiert, sodass er sich an der real ältesten Query-Zeit in der Datenbank orientiert. Zweitens hat man das initiale Laden des Query-Logs später noch einmal verbessert.
HTTPS und die Sicherheit von Pi-hole
Beim TLS gibt es eine Änderung, die vor allem iOS-Nutzer betrifft, wenn Zertifikate zu lange gültig sind. Pi-hole setzt bei selbstsignierten Zertifikaten jetzt standardmäßig auf eine deutlich kürzere Laufzeit und erneuert sie natürlich auch automatisch. Android-Nutzer waren offenbar nicht davon betroffen. Parallel dazu hat man auch die Content Security Policy weiter verbessert, damit es keine Fehler mehr beim XSS-Unterbau gibt.
Start, Speicher, Datenbank
Der spürbarste Punkt des letzten Updates ist der Start von FTL. Früher konnte der Dienst beim Start arg zicken, weil es erst die komplette Historie aus der Datenbank in den Speicher geladen hat. Jetzt wird die Query-Historie asynchron importiert. Somit kann der DNS schneller antworten, während die Historie im Hintergrund nachlädt.
Für kleine Geräte wie meinen geliebten alten Raspberry 3B+ und andere IoT-Boards gibt es außerdem eine Option, die ehrlich gesagt schon viel früher hätte existieren müssen. Mit database.forceDisk wird die sonst im RAM laufende SQLite-DB (Datenbank) auf das Speichergerät gelegt, je nachdem, ob von SD-Karte oder USB-Stick gebootet wird. Das spart Speicher. Auf einem schnellen USB-Stick ist der Unterschied gering, auf einer langsamen Karte kann es natürlich wieder Performance kosten. Ich habe bei meinen Tests keine Unterschiede gemerkt, aber die Entscheidung liegt ganz bei euch.
Dazu kommt, dass man bei der Datenbank weiter aufgeräumt hat. Das sind Dinge, die sinnvoll und wichtig sind, aber die man nicht wirklich sieht. Sie wurden einfach verbessert. Es gibt weniger Sperren rund um Datenbank-Interaktionen und ein paar Korrekturen, die das System weniger empfindlich machen, wenn die Datenbank gerade beschäftigt ist.
Listen und Gravity von Pi-hole
Bei Gravity ist nicht „alles neu”. Die Schleife, die beim Update jede Domain prüft, hat man jedoch gezielt beschleunigt. Das sind wirklich kleine, aber sinnvolle Optimierungen, die man allerdings erst merkt, wenn man mehrere Millionen Einträge in den Blocklisten hat. Pi-hole nennt dazu wie üblich keine korrekten Zahlen, was nervig ist. Es heißt lapidar: pihole -g frisst weniger Zeit.
DNS-System und Netzwerk
Im DNS-System wurde die Stabilität verbessert. Die Interfaceerkennung ist nun merklich besser. Zuvor erkannte das System Tailscale häufig fehlerhaft. Außerdem soll es weniger externe Shell-Aufrufe beim ARP-Protokoll geben und Sonder-TLDs wie .internal sollen endlich besser behandelt werden. Das ARP (Address Resolution Protocol) sorgt dafür, dass im lokalen Netzwerk eine IP-Adresse einer MAC-Adresse zugeordnet wird. Die bessere Erkennung bei Tailscale ist offensichtlich, alles andere können wir nach den Tests nicht bestätigen. Auch SQLite und dnsmasq hat man beide einem Update unterzogen.
Fazit: Gute Entwicklung, doch es geht besser
Pi-Hole wurde im Kern und in der Struktur etwas verbessert, was es aber immer noch nicht auf die gleiche Stufe wie Adguard Home* (AGH) hebt. In meinen Augen ist und bleibt Pi-Hole ein Zeitfresser. Wer es schnell, einfach und ressourcensparend haben möchte, greift weiterhin zu AGH. Nicht nur, dass es in einem Tailscale-Setup besser performt, es bringt auch gleich über 20 der wichtigsten Listen zum Blocken mit. Und es behandelt direkt ordentlich externe DNS-Anbieter, die QUIC als Protokoll nutzen.
Es dauerte satte sechs Stunden, um NextDNS innerhalb von Tailscale auf dem Pi-Hole zum Laufen zu kriegen. Vorher nervten DNS-Blocks, Port-Sperren von Unbound oder der komplette Absturz von FTL. Pi-hole hat ohne Frage seine Existenzberechtigung. Aber wer es schnell, stabil, einfach und effizient haben möchte, sollte AdGuard Home* nutzen. Dass es Pi-hole offiziell nicht auf Deutsch gibt, tut sein Übriges.
(*) Alle mit einem Stern gekennzeichneten Links sind Affiliate-Links. Wenn Du über diese Links Produkte oder Abonnements kaufst, erhält Tarnkappe.info eine kleine Provision. Dir entstehen keine zusätzlichen Kosten. Wenn Du die Redaktion anderweitig finanziell unterstützen möchtest, schau doch mal auf unserer Spendenseite oder in unserem Online-Shop vorbei.
