O DNS over HTTPS (DoH) é um protocolo de segurança que criptografa as requisições de DNS (a tradução de nomes de sites para endereços IP) ocultando-as dentro do tráfego HTTPS normal. Isso impede que provedores de internet (ISPs) e cibercriminosos interceptem, leiam ou manipulem seu histórico de navegação, garantindo total privacidade contra bisbilhoteiros de rede.
Principais Aprendizados
- O DoH esconde suas requisições de sites no meio do tráfego criptografado comum da web.
- Ele impede que seu provedor de internet rastreie e venda seu histórico de navegação.
- Pode ser facilmente ativado nos navegadores modernos, como Chrome, Edge e Firefox.
O grande problema do DNS tradicional
Para entender o DoH, precisamos dar um passo atrás. Quando você digita o endereço de um site, seu computador faz uma pergunta para a agenda telefônica da internet para descobrir o endereço IP daquele servidor. O problema é que, historicamente, toda consulta DNS é feita em texto simples (plain text).
Isso significa que qualquer pessoa monitorando a sua rede — seja um hacker em um Wi-Fi de aeroporto ou o seu próprio provedor de internet (ISP) — pode ver exatamente quais sites você está tentando acessar. Em muitos países, ISPs coletam esses dados para vender perfis de usuários para anunciantes ou para aplicar bloqueios arbitrários.
Como funciona o DNS over HTTPS (DoH)?
A solução para esse vazamento de privacidade foi padronizada pela IETF através da RFC 8484 em 2018. O DNS over HTTPS pega a sua requisição de tradução de nome e a coloca dentro de um túnel criptografado HTTPS seguro.
Em vez de enviar a pergunta de forma escancarada pela porta 53 (padrão do DNS antigo), o DoH envia a requisição pela porta 443, misturando-a com o resto do tráfego seguro da web. Para quem está olhando de fora, é impossível distinguir se você está enviando uma mensagem no WhatsApp, carregando um vídeo no YouTube ou apenas perguntando o IP de um site. Entender a diferença entre HTTP vs HTTPS é crucial aqui, pois é exatamente a camada de segurança do HTTPS que blinda a operação.
A magia do protocolo TLS
O S do HTTPS vem do uso do protocolo TLS. Ele embaralha os pacotes de dados usando chaves criptográficas complexas. Com o DoH, o seu navegador cria uma conexão TLS direta com o servidor DNS (como o do Google ou da Cloudflare) e faz a pergunta lá dentro, longe de olhares curiosos.
Por que o DoH protege sua privacidade de forma tão eficaz?
A implementação do DoH traz benefícios imediatos para a segurança cibernética do usuário comum:
- Fim da espionagem do provedor: Seu ISP só verá que você está se conectando a um IP de um serviço de DNS, mas não saberá quais sites você está pedindo para resolver.
- Proteção contra ataques Man-in-the-Middle (MitM): Redes Wi-Fi públicas falsas não conseguem redirecionar você para sites falsos (DNS Spoofing), pois a conexão HTTPS garante a autenticidade do servidor.
- Fuga da censura local: Muitos bloqueios governamentais são feitos em nível de DNS local. O DoH ignora o DNS do provedor e consulta um servidor global seguro.
Como ativar o DoH hoje mesmo
A Fundação Mozilla foi uma das pioneiras em privacidade ao ativar o DoH por padrão no Firefox para vários usuários, provando que a tecnologia é viável em larga escala. Hoje, quase todos os sistemas e navegadores suportam o recurso.
Para tirar o máximo proveito, você geralmente precisa configurar um DNS público confiável que suporte DoH, como o 1.1.1.1 da Cloudflare ou o 8.8.8.8 do Google. Basta ir nas configurações de privacidade do seu navegador (Chrome, Edge, Brave ou Firefox) e ativar a opção de DNS Seguro.
Perguntas Frequentes
O DoH deixa a internet mais lenta?
Não. Embora exista uma fração de milissegundo a mais para estabelecer a conexão criptografada (handshake TLS), os servidores DNS modernos que suportam DoH são extremamente rápidos e possuem cache otimizado. Na prática, a diferença é imperceptível e muitas vezes até mais rápida que o DNS lento do seu provedor.
Meu provedor de internet ainda consegue saber quais sites eu acesso com o DoH ativado?
O DoH esconde a requisição DNS, mas não esconde o endereço IP final ao qual você se conecta depois. Além disso, o protocolo SNI (Server Name Indication) ainda trafega em texto claro na maioria das conexões, o que pode dar pistas ao provedor. Para ocultar 100% do tráfego, o uso em conjunto com tecnologias como ECH (Encrypted Client Hello) ou uma VPN é necessário.
DoH e DoT (DNS over TLS) são a mesma coisa?
Ambos criptografam o DNS, mas de formas diferentes. O DoT usa uma porta dedicada (porta 853), o que facilita para administradores de rede bloquearem o tráfego se quiserem. Já o DoH mistura as requisições na porta 443 do HTTPS, tornando quase impossível bloquear as consultas de DNS sem bloquear toda a navegação web criptografada junto.
0 Comentários