O que é DNS over HTTPS?
O DNS over HTTPS (DoH) é um protocolo que criptografa as consultas DNS ao enviá-las dentro de conexões HTTPS padrão, em vez de como texto simples não criptografado. Toda vez que você digita o endereço de um site, o seu dispositivo pede a um servidor DNS que traduza aquele nome de domínio em um endereço IP. Tradicionalmente, essa solicitação trafega às claras, o que significa que o seu provedor de internet, o administrador da rede ou qualquer pessoa na mesma rede Wi-Fi pode ver exatamente quais sites você está solicitando. O DoH envolve essas consultas na mesma criptografia HTTPS que protege as suas sessões de banco e de compras, tornando os seus hábitos de navegação invisíveis a observadores externos.
Explicação detalhada
O problema de privacidade do DNS tradicional
O DNS padrão usa a porta UDP 53 sem criptografia. Quando você acessa “example.com”, o seu computador envia uma solicitação em texto simples a um resolvedor DNS que diz, na prática, “qual é o endereço IP de example.com?”. Qualquer um que monitore a rede — um bisbilhoteiro em uma cafeteria, um firewall corporativo ou o seu provedor de internet — pode registrar cada domínio que você consulta. Esses metadados revelam os seus padrões de navegação mesmo quando os próprios sites usam HTTPS. Uma VPN criptografa todo o tráfego, incluindo o DNS, mas o DoH oferece uma solução mais leve, específica para DNS, que funciona sem a sobrecarga de um túnel VPN completo.
DoH vs. DoT (DNS over TLS)
O DoH não é o único protocolo de criptografia de DNS. O DNS over TLS (DoT) atinge o mesmo objetivo, mas usa uma porta dedicada (853) com criptografia TLS. A diferença prática:
- DoH (porta 443): usa a mesma porta de todo o tráfego web HTTPS, tornando-o indistinguível da navegação normal. Difícil de os administradores de rede bloquearem sem comprometer o acesso à web por completo.
- DoT (porta 853): usa uma porta distinta e identificável, mais fácil de os firewalls detectarem e bloquearem.
Os principais navegadores — Chrome, Firefox, Edge, Brave e Safari — adotaram o DoH como seu método preferido de criptografia de DNS por sua resistência ao bloqueio e por sua integração perfeita com a pilha web existente.
Impacto no desempenho
Uma preocupação comum é se criptografar o DNS acrescenta latência. Na prática, a sobrecarga é mínima. O handshake HTTPS inicial leva uma fração de segundo, e as consultas seguintes reutilizam a conexão (multiplexação HTTP/2), tornando-as tão rápidas quanto, ou mais rápidas que, o DNS tradicional por UDP. Medições da Cloudflare e do Google mostram que a latência do DoH é comparável à do DNS convencional na maioria das condições de rede. Em alguns casos, mudar para um provedor DoH de alto desempenho, como a Cloudflare (1.1.1.1), na verdade acelera a resolução DNS em comparação com um resolvedor lento do provedor de internet, porque a infraestrutura do provedor está geograficamente mais próxima da maioria dos usuários.
Como ativar o DoH
Ativar o DoH é simples:
- No seu navegador: abra as Configurações, vá até Privacidade ou Segurança, encontre “Usar DNS seguro” ou “DNS over HTTPS” e selecione um provedor (Cloudflare, Google, Quad9 etc.).
- No nível do SO: Windows 11, macOS, iOS e Android todos suportam o DoH em todo o sistema. Nas configurações de rede ou de DNS, insira um endereço de servidor compatível com DoH e ative a opção de criptografia.
- No seu roteador: alguns roteadores suportam DoH ou DoT, criptografando o DNS de todos os dispositivos da sua rede sem configuração por dispositivo.
Considerações e limitações
O DoH não é uma solução mágica para a privacidade. Ele criptografa a consulta DNS, mas o endereço IP ao qual você se conecta em seguida continua visível para o seu provedor de internet e o operador da rede (a menos que você também use uma VPN). Além disso, o Server Name Indication (SNI) no handshake TLS pode revelar o nome do host ao qual você está se conectando; o Encrypted Client Hello (ECH) é um padrão emergente que aborda isso. Algumas redes corporativas e sistemas de controle parental dependem da inspeção das consultas DNS para aplicar políticas. Ativar o DoH em uma rede corporativa pode contornar os controles de segurança, então consulte o seu departamento de TI antes de ativá-lo em um dispositivo de trabalho.
Como escolher
1. Comece pelo seu navegador
A forma mais rápida de obter a proteção do DoH é ativá-lo nas configurações do seu navegador. Leva cerca de 30 segundos, não exige instalação de software e criptografa imediatamente todas as consultas DNS feitas por aquele navegador.
2. Escolha um provedor de DNS confiável
Quando você usa o DoH, está confiando os dados das suas consultas ao provedor de DNS. Escolha com cuidado:
- Cloudflare (1.1.1.1): compromete-se a não vender dados e a apagar os logs de consultas em até 24 horas. Auditado de forma independente.
- Google Public DNS (8.8.8.8): extremamente rápido e confiável; os logs são anonimizados, mas retidos para análises limitadas.
- Quad9 (9.9.9.9): focado em segurança; bloqueia domínios maliciosos conhecidos automaticamente.
Revise a política de privacidade de cada provedor e escolha aquele cujas práticas de dados se alinham ao seu nível de conforto.
3. Combine com uma VPN para proteção completa
O DoH criptografa apenas as consultas DNS — ele não esconde o seu endereço IP nem criptografa o resto do seu tráfego. Para privacidade abrangente em Wi-Fi público ou em ambientes de rede restritivos, combine o DoH com uma VPN. Juntos, eles cobrem tanto a pergunta “que site você está visitando” (DoH) quanto a pergunta “o que você está fazendo lá” (VPN).
Adoção do DoH e impulso do setor
O DoH ganhou adoção rápida desde a sua introdução. O Firefox foi o primeiro grande navegador a ativar o DoH por padrão (nos EUA), seguido por Chrome, Edge e Brave. A Apple acrescentou suporte ao DoH em todo o sistema no iOS 14 e no macOS Big Sur. O Windows 11 suporta o DoH nativamente nas configurações de rede. Essa ampla adoção significa que ativar o DoH deixou de ser uma tarefa técnica avançada — é um recurso comum, suportado por todas as principais plataformas. A tendência rumo ao DNS criptografado é clara e irreversível, impulsionada tanto pela demanda dos usuários por privacidade quanto pelo consenso do setor de que o DNS não criptografado é um passivo.
Conclusão
O DNS over HTTPS é um dos upgrades de privacidade mais fáceis e impactantes que você pode fazer. Ao criptografar as consultas DNS que revelam quais sites você visita, o DoH fecha uma lacuna de longa data na privacidade da internet — e leva menos de um minuto para ativar. Escolha um provedor de DNS respeitável, ative o DoH no seu navegador ou sistema operacional e considere acrescentar uma VPN por cima para uma proteção de espectro completo. É uma pequena mudança com um retorno significativo.