Como o DNS over HTTPS (DoH) melhora a privacidade

O DNS over HTTPS (DoH) melhora a privacidade ao criptografar as requisições de DNS — o sistema que traduz nomes de sites em endereços IP — ocultando-as dentro do tráfego HTTPS normal. Isso impede que provedores de internet (ISPs), administradores de rede e hackers em conexões públicas interceptem, monitorem ou manipulem os sites que você visita, eliminando uma das maiores vulnerabilidades históricas da navegação na web.

Principais Aprendizados

• Criptografia de Ponta: O DoH transforma requisições de texto simples em dados criptografados, impedindo espionagem.
• Prevenção contra Spoofing: Reduz drasticamente o risco de ataques man-in-the-middle que redirecionam usuários para sites falsos.
• Complemento de Segurança: Embora oculte o destino do DNS, ele não substitui outras ferramentas de anonimato, exigindo uma abordagem em camadas.

O que é o DNS over HTTPS (DoH) e por que ele surgiu?

Para entender o impacto do DoH, precisamos olhar para o funcionamento básico da internet. O Domain Name System (DNS) atua como a lista telefônica da web, traduzindo URLs compreensíveis por humanos, como google.com, em endereços de IP numéricos que os computadores utilizam para se conectar. Durante décadas, esse processo ocorreu em texto simples (plaintext).

A falta de criptografia no DNS tradicional significava que qualquer pessoa monitorando a rede poderia ver exatamente quais sites você estava solicitando. Isso abria portas para o rastreamento em massa por provedores de serviços de internet (ISPs) e facilitava a censura governamental. Foi para resolver essa falha crítica no protocolo TCP/IP que o DoH foi desenvolvido.

Como o DoH protege seus dados na prática

O DNS over HTTPS encapsula suas solicitações de DNS dentro do protocolo HTTPS, o mesmo padrão de segurança utilizado para proteger transações bancárias e compras online. Em vez de enviar uma solicitação aberta pela porta 53, o DoH envia a requisição criptografada pela porta 443, misturando-a com o tráfego regular da web.

Segundo a Internet Engineering Task Force (IETF), que padronizou o protocolo na RFC 8484 em 2018, o objetivo principal é prevenir a interferência e a observação das consultas DNS no caminho entre o cliente e o resolvedor. Isso traz benefícios imediatos:

• Bloqueio de ISPs curiosos: Seu provedor de internet não pode mais vender seu histórico de navegação para anunciantes.
• Proteção em Wi-Fi Público: Hackers em redes abertas de aeroportos ou cafés não conseguem interceptar suas requisições.
• Prevenção contra Manipulação: Impede ataques de envenenamento de cache DNS (DNS spoofing).

Diferença entre DNS over HTTPS (DoH) e DNS over TLS (DoT)

No debate sobre privacidade de rede, frequentemente encontramos duas siglas: DoH e DoT. Ambas criptografam o DNS, mas utilizam abordagens diferentes. O DNS over TLS (DoT) usa a porta 853 dedicada exclusivamente para tráfego DNS seguro. A desvantagem? Administradores de rede podem simplesmente bloquear a porta 853, impedindo seu uso.

Já o DoH é mais furtivo. Por utilizar a porta 443 (HTTPS padrão), bloquear o DoH geralmente significa bloquear todo o tráfego HTTPS da web, o que é inviável na internet moderna. A documentação oficial da Mozilla destaca que essa capacidade de se esconder na multidão é o que torna o DoH uma ferramenta de privacidade superior contra a censura corporativa e estatal.

Limitações do DoH: O que ele NÃO protege

Apesar de ser um avanço monumental, o DNS over HTTPS não é uma bala de prata para o anonimato total. É fundamental alinhar as expectativas sobre o que a tecnologia pode ou não fazer.

Primeiramente, o DoH criptografa apenas a solicitação do nome de domínio. O endereço IP de destino (Server Name Indication - SNI) muitas vezes ainda trafega sem criptografia durante o aperto de mão inicial (handshake) do TLS. Além disso, o seu resolvedor de DNS (como Cloudflare ou Google) ainda sabe quais sites você visita, exigindo que você confie na política de privacidade dessa empresa.

Para um anonimato mais robusto que oculte também o seu endereço IP real e criptografe todo o tráfego do dispositivo, o uso de uma VPN (Virtual Private Network) continua sendo indispensável.

Perguntas Frequentes

O DNS over HTTPS deixa a internet mais lenta?

Não de forma perceptível. Embora o processo de criptografia adicione alguns milissegundos à resolução inicial, conexões HTTPS modernas e o uso de resolvedores ultrarrápidos (como o 1.1.1.1 da Cloudflare) geralmente compensam esse tempo, mantendo o desempenho da navegação excelente.

Como ativar o DNS over HTTPS no Google Chrome?

Para ativar no Chrome, acesse Configurações > Privacidade e segurança > Segurança. Role até a seção Avançado e ative a opção Usar DNS seguro. Você pode escolher usar seu provedor atual (se compatível) ou selecionar um provedor customizado como Cloudflare ou Google Public DNS.

O DoH substitui o uso de uma VPN?

Não. O DoH criptografa apenas as consultas de DNS, protegendo contra a interceptação de quais sites você deseja acessar. Uma VPN, por outro lado, criptografa todo o tráfego de dados do seu dispositivo e mascara seu endereço IP real, oferecendo uma camada de privacidade e anonimato muito mais ampla.