Qual é a diferença entre DNS over TLS (DoT) e DNS over HTTPS (DoH)?

Tanto o DoT como o DoH encriptam as consultas DNS, mas fazem-no de formas diferentes. O DoT utiliza uma porta dedicada (853), o que facilita a sua identificação e gestão por administradores de rede, mas também a sua possível restrição. O DoH, por sua vez, encaminha o tráfego DNS pela porta 443, a mesma usada pelo tráfego HTTPS normal, tornando-o muito mais difícil de bloquear e mais discreto em ambientes restritivos.

Se estou a usar uma VPN, o DoT ainda é relevante para mim?

Sim, pode ser. Embora uma VPN encripte todo o seu tráfego quando configurada corretamente, fugas de DNS podem fazer com que as consultas DNS contornem o túnel VPN e cheguem ao resolvedor do seu ISP em texto simples. O DoT acrescenta uma camada de proteção extra que pode ajudar a mitigar esse risco, especialmente se a sua VPN não lidar com o DNS de forma robusta.

Como posso ativar o DNS over TLS no meu dispositivo?

O método varia consoante o dispositivo. No Android 9 ou superior, pode ativar o DoT através da funcionalidade "DNS Privado" nas definições de rede, introduzindo o endereço de um resolvedor compatível, como o 1dot1dot1dot1.cloudflare-dns.com. Noutros dispositivos, poderá precisar de configurar o seu router para usar um resolvedor DNS compatível com DoT, de modo a que toda a rede beneficie automaticamente da encriptação.

O DNS over TLS deixa a minha navegação completamente privada?

Não completamente. O DoT protege as suas consultas DNS de serem vistas em texto simples, mas não encripta o restante do seu tráfego de internet. Para uma privacidade mais abrangente, deve combinar o DoT com HTTPS para a navegação web e, idealmente, com uma VPN de confiança. Juntos, estes mecanismos fecham as principais lacunas através das quais a sua atividade online poderia ser monitorizada.

DNS over TLS (DoT)

DNS over TLS (DoT): Mantendo as Suas Pesquisas de Domínio Privadas

Cada vez que digita um endereço de website no seu navegador, o seu dispositivo envia uma consulta DNS — essencialmente perguntando a um servidor: "Qual é o endereço IP deste domínio?" Tradicionalmente, essas consultas viajam pela internet em texto simples, o que significa que o seu fornecedor de internet, os administradores de rede ou qualquer pessoa que monitorize a sua ligação pode ver exatamente quais os websites que está a tentar visitar. O DNS over TLS, comumente abreviado como DoT, foi concebido para resolver esse problema.

O Que É

DNS over TLS é um protocolo de rede que encapsula as suas consultas DNS numa ligação encriptada TLS (Transport Layer Security) — a mesma tecnologia que protege o seu website bancário ou o início de sessão do seu email. Em vez de enviar esses pedidos "onde está este website?" de forma aberta, o DoT garante que são codificados antes de saírem do seu dispositivo. Foi formalmente padronizado em 2016 ao abrigo do RFC 7858 e desde então foi adotado pelos principais resolvedores DNS, incluindo a Cloudflare (1.1.1.1), a Google (8.8.8.8), entre outros.

Como Funciona

Normalmente, o tráfego DNS circula pela porta 53 e utiliza UDP ou TCP sem qualquer encriptação. O DoT muda isso ao estabelecer uma ligação TLS dedicada através da porta 853. Eis o fluxo básico:

O seu dispositivo (ou resolvedor DNS) inicia um handshake TLS com o servidor DNS, verificando a sua identidade através de certificados digitais.
Uma vez estabelecido o túnel encriptado, a sua consulta DNS viaja através dele — completamente oculta de observadores externos.
O servidor DNS processa o pedido e envia a resposta de volta pelo mesmo canal encriptado.
O seu dispositivo utiliza o endereço IP devolvido para se ligar ao website.

Como o DoT opera numa porta dedicada (853), os administradores de rede e as firewalls podem facilmente identificar e, se assim o entenderem, bloquear o tráfego DoT. Esta é uma distinção fundamental em relação ao seu parente próximo, o DNS over HTTPS (DoH), que mistura o tráfego DNS com o tráfego web normal na porta 443 e é mais difícil de bloquear.

Por Que É Importante para Utilizadores de VPN

Pode estar a perguntar-se — se já estou a usar uma VPN, preciso de me preocupar com o DoT? É uma pergunta legítima. Uma VPN encripta todo o seu tráfego, incluindo consultas DNS, quando configurada corretamente. No entanto, existem algumas nuances importantes:

Fugas de DNS: Se o seu cliente VPN não estiver configurado corretamente, os pedidos DNS podem, por vezes, contornar o túnel VPN encriptado e ir diretamente para o resolvedor do seu ISP em texto simples. Uma fuga de DNS pode expor a sua atividade de navegação mesmo quando pensa estar protegido. O DoT fornece uma camada adicional de encriptação que ajuda a proteger contra isso.
Ambientes sem VPN: Nem toda a gente usa uma VPN em todos os momentos. Em redes Wi-Fi abertas, no trabalho ou em dados móveis, o DoT protege as suas consultas DNS independentemente de uma VPN.
Vigilância e limitação de velocidade pelo ISP: Sem DNS encriptado, o seu ISP pode registar cada domínio que visita e potencialmente vender esses metadados ou utilizá-los para limitar a velocidade de serviços específicos. O DoT impede-os de ler essas consultas.

Exemplos Práticos e Casos de Uso

Segurança na rede doméstica: Configurar o seu router ou resolvedor DNS local para usar DoT (apontando para um resolvedor focado na privacidade como a Cloudflare ou a Quad9) significa que todos os dispositivos na sua rede beneficiam de pesquisas DNS encriptadas — sem necessidade de instalar nada adicional em cada dispositivo.

Privacidade no telemóvel: O Android 9 e versões posteriores incluem uma funcionalidade integrada de "DNS Privado" que suporta DoT nativamente. Pode ativá-la nas definições e encaminhar todas as consultas DNS através de um resolvedor encriptado sem qualquer aplicação de terceiros.

Redes empresariais: As equipas de TI utilizam DoT para impedir que funcionários ou atacantes na rede intercetem consultas DNS internas, reduzindo o risco de DNS spoofing ou ataques man-in-the-middle.

Jornalistas e ativistas: Em regiões com monitorização intensa da internet, encriptar consultas DNS acrescenta uma camada significativa de privacidade, dificultando que os sistemas de vigilância construam um perfil do comportamento online com base apenas no tráfego DNS.

O DoT não é uma solução completa de privacidade por si só — o seu tráfego web real ainda necessita de HTTPS ou de uma VPN para proteção total — mas fecha uma lacuna frequentemente ignorada na segurança diária da internet.

DNS over TLS (DoT)Intermediário

DNS over TLS (DoT): Mantendo as Suas Pesquisas de Domínio Privadas

O Que É

Como Funciona

Por Que É Importante para Utilizadores de VPN

Exemplos Práticos e Casos de Uso

// FAQ