O DoH é o mesmo que uma VPN?

Não. O DoH apenas encripta as suas consultas DNS — a fase em que o seu dispositivo converte nomes de domínio em endereços IP. Uma VPN encripta todo o seu tráfego de internet e oculta o seu endereço IP. O DoH e as VPNs resolvem problemas diferentes e podem ser utilizados em conjunto.

O DoH impede que o meu ISP veja os sites que visito?

Em parte. O DoH impede que o seu ISP veja as suas consultas DNS, pelo que não consegue registar facilmente quais os domínios que pesquisou. No entanto, o seu ISP ainda pode ver os endereços IP aos quais se está a conectar, o que pode, em muitos casos, revelar quais os sites que visita.

Como posso ativar o DoH no meu browser?

A maioria dos browsers modernos suporta DoH nas definições. No Firefox, aceda a Definições > Privacidade e Segurança > DNS sobre HTTPS. No Chrome, aceda a Definições > Privacidade e segurança > Segurança > Utilizar DNS seguro. Pode escolher fornecedores como Cloudflare ou Google, ou especificar um servidor DoH personalizado.

O DoH pode ser bloqueado?

Sim. Embora o DoH seja mais difícil de bloquear do que o DNS convencional, uma vez que se mistura com o tráfego HTTPS normal, os censores ou administradores de rede podem bloquear os endereços IP de servidores DoH conhecidos. Em ambientes empresariais, as organizações costumam redirecionar o tráfego DoH para servidores internos aprovados, mantendo assim o controlo sobre as consultas DNS.

DNS over HTTPS (DoH)

DNS over HTTPS (DoH): O Que É e Por Que É Importante

Cada vez que digita o endereço de um site no seu browser, o seu dispositivo envia uma pergunta: "Qual é o endereço IP deste domínio?" Essa pergunta é chamada de consulta DNS e, durante décadas, viajou pela internet em texto simples — completamente exposta a qualquer pessoa que monitorasse a rede. O DNS over HTTPS (DoH) foi criado para resolver esse problema.

O Que É

DNS over HTTPS é um protocolo que encapsula as suas consultas DNS dentro de tráfego HTTPS encriptado — o mesmo tipo de encriptação utilizado quando acede ao seu banco ou faz compras online. Em vez de os seus pedidos DNS serem enviados de forma aberta, são agrupados em conexões HTTPS seguras e enviados para um servidor DNS compatível com DoH. Para observadores externos, o tráfego parece uma navegação web comum.

O DoH foi padronizado pela Internet Engineering Task Force (IETF) no RFC 8484 em 2018 e, desde então, foi integrado nos principais browsers, como Firefox, Chrome e Edge, bem como em sistemas operativos como Windows 11 e Android.

Como Funciona

Veja o fluxo básico:

Digita `example.com` no seu browser.
Em vez de enviar um pedido UDP em texto simples para o servidor DNS do seu ISP na porta 53, o seu dispositivo envia um pedido HTTPS encriptado para um servidor DoH (como o `1.1.1.1` da Cloudflare ou o `8.8.8.8` da Google) na porta 443.
O servidor procura o endereço IP e devolve a resposta — ainda encriptada via HTTPS.
O seu browser estabelece a conexão com o site.

Como a consulta utiliza a porta 443 (a porta HTTPS padrão), mistura-se com o tráfego web normal. Um observador passivo na sua rede — seja o seu ISP, um administrador de rede ou alguém a gerir um hotspot Wi-Fi malicioso — não consegue distinguir facilmente as suas consultas DNS de qualquer outro tráfego HTTPS.

Por Que É Importante para Utilizadores de VPN

Pode perguntar-se: se já estou a usar uma VPN, preciso de DoH? É uma questão legítima, e a resposta depende da sua configuração.

Sem uma VPN, o DoH representa uma melhoria significativa para a privacidade. O seu ISP já não consegue registar facilmente todos os domínios que visita. Isto é especialmente relevante dado que os ISPs em muitos países têm permissão — ou mesmo obrigação — de recolher e vender dados de navegação.

Com uma VPN, as suas consultas DNS já deverão ser encaminhadas através do túnel VPN e resolvidas pelos servidores DNS do próprio fornecedor de VPN. No entanto, se a sua conexão VPN cair ou estiver mal configurada, pode ocorrer um vazamento de DNS — o seu dispositivo volta a enviar consultas DNS fora do túnel, expondo a sua atividade. Utilizar DoH em conjunto com uma VPN (ou escolher uma VPN que implemente DoH internamente) acrescenta uma camada extra de proteção contra esses vazamentos.

Vale também notar que o DoH por si só não substitui uma VPN. O DoH apenas encripta a fase de consulta do domínio. O seu endereço IP real continua visível para os sites que visita, e o seu ISP ainda consegue ver a quais endereços IP está a conectar — apenas não consegue, necessariamente, identificar quais os nomes de domínio que originaram essas conexões.

Exemplos Práticos e Casos de Uso

Wi-Fi público: Quando conectado à rede de uma cafeteria ou aeroporto, o DoH impede que o operador da rede registe as suas consultas DNS ou as redirecione para um servidor manipulado.
Contornar censura básica: Alguns ISPs bloqueiam sites interceptando consultas DNS. O DoH pode contornar bloqueios ao nível do DNS porque as consultas são encriptadas e enviadas para um servidor externo. (Nota: sistemas de censura mais sofisticados podem ainda bloquear servidores DoH por endereço IP.)
Proteção ao nível do browser: O Firefox e o Chrome permitem ativar o DoH diretamente nas definições, proporcionando DNS encriptado mesmo quando não está a usar uma VPN.
Ambientes empresariais: Os administradores de rede frequentemente debatem o DoH porque pode contornar os controlos de DNS internos. Muitas organizações configuram o DoH para encaminhar o tráfego através de servidores internos aprovados em vez de servidores públicos.

DoH vs. DoT

O DoH é frequentemente comparado ao DNS over TLS (DoT), outro protocolo de encriptação de DNS. Ambos encriptam o tráfego DNS, mas o DoT utiliza uma porta dedicada (853) que os administradores de rede conseguem identificar e filtrar facilmente. O DoH mistura-se com o tráfego HTTPS regular, tornando-o mais difícil de bloquear — o que representa tanto uma vantagem para a privacidade como uma preocupação para o controlo de redes.

DNS over HTTPS (DoH)Intermediário