Glossário
O que é DNS-over-HTTPS (DoH)
Criptografa queries DNS entre seu cliente e o resolver. Esconde queries do seu provedor. Padronizado em RFC 8484. Diferente de VPN mas complementar.
DNS-over-HTTPS (DoH) é um protocolo que criptografa queries DNS entre seu cliente e o DNS resolver. Padronizado em RFC 8484 em 2018, amplamente deployado em 2020. Resolve um problema específico de privacidade: queries DNS são plaintext por default e revelam todo domínio que você visita pro seu provedor e pra qualquer um que possa observar seu tráfego de rede.
DoT (DNS-over-TLS) é o padrão relacionado que faz a mesma coisa usando transporte diferente (TLS sobre porta 853 em vez de HTTPS sobre porta 443). Os dois alcançam o mesmo objetivo; DoH é mais amplamente suportado porque funciona através de firewalls que permitem HTTPS.
Que problema DoH resolve
DNS padrão envia queries não criptografadas. Seu computador pergunta "qual é o IP pra example.com?" e a resposta volta em plaintext. Qualquer um observando a rede — seu provedor, o operador de Wi-Fi local, monitores de rede — pode ver as queries.
Mesmo se seu outro tráfego é criptografado HTTPS, suas queries DNS revelam os domínios que você visita. O site em si é ilegível; os metadados de quais sites você visita são totalmente visíveis.
DoH envolve queries DNS em HTTPS. Seu computador faz POST HTTPS pra um resolver DNS que suporta DoH. A query e resposta são criptografadas entre seu computador e o resolver. O provedor vê só tráfego HTTPS criptografado pra um resolver DNS; não consegue ver quais domínios você sondou.
Mudança de confiança
DoH muda quem vê suas queries DNS:
- Sem DoH: provedor vê todas suas queries DNS
- Com DoH pro Cloudflare 1.1.1.1: Cloudflare vê suas queries DNS; provedor não
- Com DoH pro Google 8.8.8.8: Google vê suas queries DNS; provedor não
- Com DoH pro NextDNS ou resolver self-hosted: essa parte vê as queries
O ganho de privacidade é real mas condicional a confiar no provedor DoH. Provedores DoH principais publicam políticas de privacidade; alguns (Cloudflare, Quad9, Mullvad) têm compromissos no-logs mais fortes que outros. A mudança de confiança é o trade-off.
Onde DoH se encaixa com VPN
Em camadas:
Sem VPN, com DoH. Seu provedor vê HTTPS criptografado pra um resolver DNS. Não consegue ver suas queries. Ainda consegue ver os destinos que você conecta (via SNI em handshakes TLS, metadados de conexão em nível de IP) — DoH só criptografa DNS, não o resto do seu tráfego.
Com VPN, sem DoH. O DNS do seu provedor VPN resolve suas queries dentro do túnel. Seu provedor vê só o túnel VPN criptografado. O provedor VPN vê suas queries DNS.
Com VPN + DoH dentro do túnel. Proteção em camadas. O provedor VPN vê tráfego DoH criptografado em vez de DNS em plaintext. Útil se você quer limitar até a visibilidade do seu provedor VPN sobre suas queries DNS. A maioria dos usuários não precisa dessa profundidade.
Pra maioria dos usuários, VPN sozinha é suficiente. A VPN criptografa o túnel inteiro; DNS roteia dentro dele; o compromisso no-logs da VPN cobre a visibilidade DNS. DoH em camadas dentro é cinto e suspensórios.
DoH em navegadores
Firefox habilita DoH por default em algumas regiões. Chrome suporta DoH em settings avançadas. Edge suporta. iOS e macOS suportam DoH em nível de SO desde iOS 14 / macOS Big Sur.
DoH no nível de navegador faz bypass do resolver DNS do SO. Isso significa:
- O resolver DNS da sua VPN pode não ser usado (o navegador está indo direto via DoH)
- Sua VPN pode não ver as queries DNS (potencialmente um leak em algumas configurações)
- O provedor DoH escolhido pelo navegador vê as queries
Pra usuários rodando VPN com DoH habilitado no navegador, a interação de configuração importa. A maioria dos clientes VPN modernos (Fexyn, Mullvad, ProtonVPN) lida com isso corretamente interceptando tráfego DoH na camada de rede. Clientes VPN antigos podem ter condições de leak.
DoT vs DoH
DNS-over-TLS (DoT) faz a mesma coisa usando TLS na porta 853. Comparado a DoH:
- DoT: porta dedicada (853), serviço DNS explícito, mais fácil pra operadores de rede identificarem e potencialmente bloquearem
- DoH: roda sobre HTTPS porta 443, mistura com tráfego web normal, mais difícil de bloquear seletivamente
Pra privacidade contra provedores, a propriedade mais-difícil-de-bloquear do DoH é uma vantagem. Pra administradores de rede que querem visibilidade sobre uso DNS, DoT é mais fácil de monitorar.
Provedores comuns
Resolvers públicos principais que suportam DoH:
- Cloudflare 1.1.1.1. Forte alegação no-logs. Variante com bloqueio de ads em 1.1.1.2. Variante family-safe em 1.1.1.3.
- Google 8.8.8.8. No-logs pra dados pessoais; Google retém agregados.
- Quad9 9.9.9.9. Focado em privacidade; operação sem fins lucrativos.
- NextDNS. Configurável; filtragem específica por usuário. Modelo de assinatura com privacidade forte.
- Mullvad DNS. Focado em privacidade; pareado com serviço VPN da Mullvad.
Pra usuários querendo DoH no navegador sem VPN, Cloudflare 1.1.1.1 é a recomendação padrão. Rápido, confiável, no-logs.
O que DoH não resolve
- O destino ainda é visível. Seu provedor não consegue ver a query DNS mas consegue ver o IP que você conecta e o SNI no handshake TLS. Aprende o domínio de qualquer jeito, só de vetor diferente.
- Tracking em nível de aplicação continua. Fingerprinting de navegador, cookies, serviços logados — tudo ainda funciona.
- O provedor DoH vê as queries. Confiança muda pra ele.
Pra privacidade DNS abrangente, DoH + VPN + provedor DNS no-logs dentro do túnel VPN cobre os principais vetores. Pra privacidade só do provedor, DoH sozinho é parcial; VPN é mais completa.
Experimente o Fexyn grátis por 7 dias — VPN com resolução DNS no-logs dentro do túnel; suporte DoH em camada disponível.
Termos relacionados
Experimente o Fexyn grátis por 7 dias
App para Windows disponível agora em Beta. WireGuard, VLESS Reality e OpenVPN — sem logs de histórico de navegação, consultas DNS ou conteúdo de tráfego.
Ver preços