secure-os.org
ENFRESDEITPT
Todos os guiasQubes OSTailsWhonixLinux reforçadoEncriptação de discoModelo de ameaça
dns

DNS seguro: como cifrar o teu DNS (DoH, DoT e DNSSEC explicados)

secure-os· Atualizado 16 de junho de 2026· 10 min de leitura #dns#privacy#encryption#doh#network
Filas de servidores de rede com cabos num centro de dados

Sempre que abres um site, o teu dispositivo pede primeiro a um resolvedor DNS que traduza o nome (como example.com) num endereço IP. Por predefinição, essa consulta viaja sem cifragem — qualquer pessoa entre ti e o resolvedor consegue lê-la. O DNS seguro fecha essa lacuna ao cifrar a consulta, para que a rede já não possa ver, registar ou adulterar os domínios que visitas. Este guia explica como o DNS simples deixa fugir informação, o que DoH, DoT e DNSSEC realmente fazem, como ativar o DNS cifrado por plataforma e que resolvedores públicos vale a pena usar.

A resposta curta

  • O DNS simples é uma falha de privacidade. O DNS clássico passa pela porta 53 em texto simples, por isso o teu ISP, uma rede Wi-Fi pública ou qualquer pessoa na rede consegue ver cada domínio que resolves.
  • Cifra-o com DoH ou DoT. Tanto o DNS over HTTPS (DoH) como o DNS over TLS (DoT) cifram as tuas consultas DNS. A maioria dos navegadores e sistemas operativos suporta hoje um ou ambos.
  • O DNSSEC é diferente. O DNSSEC autentica as respostas para travar a falsificação — mas não as cifra. Cifragem (DoH/DoT) e autenticação (DNSSEC) resolvem problemas diferentes; idealmente queres ambas.
  • Escolhe um resolvedor de confiança. Cloudflare (1.1.1.1), Quad9 (9.9.9.9), Mullvad DNS, NextDNS e AdGuard DNS oferecem todos endpoints cifrados.
  • Uma VPN também cifra o DNS. Uma boa VPN encapsula todo o teu tráfego, DNS incluído, para que a consulta nunca fuja ao nível da rede.

Porque é que o DNS simples é um problema

O DNS clássico foi concebido nos anos 1980 sem qualquer preocupação com a privacidade. As consultas saem em texto simples por UDP/TCP porta 53, o que significa:

  • O teu ISP consegue ver e registar cada domínio que resolves — mesmo que a própria página seja HTTPS, o nome do site que visitas é exposto no momento da consulta.
  • Qualquer pessoa na mesma rede (Wi-Fi público, um escritório, um hotel) consegue observar passivamente o teu tráfego DNS e construir um retrato do que fazes online.
  • O DNS pode ser adulterado. Sem autenticação, uma rede pode devolver uma resposta errada — enviando-te para um servidor malicioso ou bloqueado (tanto o sequestro de DNS como a censura assentam nisto).

O HTTPS cifra o conteúdo das páginas que carregas, mas não esconde quais sites pedes. O DNS simples deixa fugir informação antes mesmo de a ligação ser feita. É essa a lacuna que o DNS seguro foi feito para fechar.

Cabos de rede Ethernet ligados a um switch.
Cabos de rede ligados a um switch — por predefinição as tuas consultas DNS atravessam este hardware em texto simples, legíveis por qualquer pessoa no caminho.

DoH vs DoT: as duas formas de cifrar o DNS

Tanto o DNS over HTTPS como o DNS over TLS envolvem as tuas consultas DNS em cifragem para que a rede não as consiga ler. A diferença está sobretudo em como viajam:

  • DNS over TLS (DoT) faz o DNS correr dentro de uma ligação cifrada por TLS numa porta dedicada (853). Como tem a sua própria porta, um administrador de rede consegue facilmente ver que estás a fazer DNS cifrado (mesmo que não o consiga ler) e poderia bloquear a porta. A definição «DNS privado» do Android usa DoT.
  • DNS over HTTPS (DoH) envia as consultas DNS por uma ligação HTTPS normal (porta 443), a mesma porta usada para todo o tráfego web. Isto torna o DoH mais difícil de isolar e bloquear, porque se mistura com a navegação web comum. A maioria dos navegadores implementa DoH.

Nenhum é universalmente «melhor». O DoT é mais limpo de gerir numa rede; o DoH é mais difícil de censurar. Para uma pessoa que apenas quer esconder as suas consultas do ISP e da rede local, qualquer um é uma grande melhoria face ao DNS simples na porta 53.

DNSSEC: autenticação, não cifragem

O DNSSEC (DNS Security Extensions) é frequentemente confundido com DoH/DoT, mas faz algo completamente diferente. O DNSSEC adiciona assinaturas criptográficas aos registos DNS para que o teu resolvedor possa verificar que uma resposta veio genuinamente da fonte autoritativa e não foi forjada ou modificada em trânsito. Protege contra falsificação de DNS e envenenamento de cache.

A distinção honesta:

  • DNSSEC = autenticação. Prova que a resposta é genuína. Não esconde as tuas consultas — o tráfego DNSSEC continua legível pela rede.
  • DoH/DoT = cifragem. Escondem as tuas consultas da rede. Por si só, não provam que a resposta seja autêntica.

São complementares. Um resolvedor validador alcançado por DoH ou DoT dá-te ambas as coisas: consultas que a rede não consegue ler e respostas que não consegue forjar.

Como ativar o DNS seguro, por plataforma

Podes ativar o DNS cifrado em três sítios: no teu navegador, no teu sistema operativo ou no teu router. Defini-lo ao nível do SO ou do router cobre mais aplicações do que apenas o navegador.

  • Firefox: Definições → Privacidade e segurançaDNS over HTTPS. Escolhe um nível de proteção e um fornecedor (Cloudflare e NextDNS são opções integradas).
  • Chrome / Edge: Definições → Privacidade e segurançaSegurançaUtilizar DNS seguro. Podes manter o teu fornecedor atual ou escolher um da lista.

O DoH do navegador só protege o DNS desse navegador — as outras aplicações no dispositivo continuam a usar o resolvedor do sistema.

Windows 11

O Windows 11 suporta DoH de forma nativa: Definições → Rede e Internet → a tua ligação → Atribuição de servidor DNS → Editar, define o DNS como Manual, introduz o IP do teu resolvedor e define o DNS over HTTPS como Ativado (modelo automático) para um fornecedor suportado.

Android

O Android tem um DNS privado integrado, que usa DoT: Definições → Rede e Internet → DNS privado → Nome de anfitrião do fornecedor de DNS privado, depois introduz o nome de anfitrião do fornecedor (por exemplo dns.quad9.net ou o teu nome de anfitrião NextDNS/AdGuard). Aplica-se a todo o sistema.

iOS e macOS

A Apple não expõe o DNS cifrado na interface padrão de definições, mas suporta-o através de perfis de configuração (um ficheiro .mobileconfig) usando DoH ou DoT. Fornecedores como NextDNS, Quad9 e AdGuard distribuem perfis prontos que instalas uma vez; a definição aplica-se então a todo o sistema.

Router

Definir o DNS cifrado no teu router cobre todos os dispositivos da rede, incluindo os que não podem ser configurados individualmente (smart TVs, dispositivos IoT). O suporte varia conforme o firmware do router — muitos routers e firmwares modernos como o OpenWrt conseguem reencaminhar o DNS por DoT/DoH para um resolvedor a montante.

Resolvedores públicos recomendados

Estes são resolvedores públicos bem conhecidos que oferecem endpoints cifrados (DoH/DoT). Escolhe com base no que valorizas — velocidade, filtragem de malware ou personalização. Não compliques: qualquer um deles é melhor do que o DNS em texto simples predefinido do teu ISP.

  • Cloudflare (1.1.1.1 / 1.0.0.1) — um resolvedor muito usado, conhecido por ser rápido, com uma postura focada na privacidade. Estão disponíveis uma app 1.1.1.1 e endpoints DoH/DoT.
  • Quad9 (9.9.9.9) — um resolvedor sem fins lucrativos suíço que bloqueia domínios maliciosos conhecidos usando feeds de threat intelligence. Uma predefinição sólida se quiseres filtragem de segurança integrada.
  • Mullvad DNS — DNS cifrado público gerido pelo fornecedor de VPN focado na privacidade Mullvad, com variantes opcionais de bloqueio de publicidade/rastreadores/malware. Não é necessária conta para o resolvedor público.
  • NextDNS — um resolvedor altamente personalizável: crias uma configuração e escolhes as tuas próprias listas de bloqueio, registos e regras. Tem um plano gratuito com uma quota mensal de consultas.
  • AdGuard DNS — oferece resolvedores que bloqueiam publicidade e rastreadores ao nível do DNS, com endpoints cifrados, a par de uma opção sem filtragem.

Uma nota de honestidade: a velocidade de DNS no mundo real depende muito da tua localização e rede, por isso encara com ceticismo qualquer afirmação de um único «resolvedor mais rápido» — a escolha certa é aquela cujo modelo de confiança e filtragem corresponde às tuas necessidades.

Onde entra uma VPN

O DNS cifrado esconde as tuas consultas, mas uma VPN vai mais longe: cifra todo o teu tráfego — DNS incluído — dentro de um único túnel até ao servidor VPN, para que o teu ISP e a rede local não consigam ver os domínios que resolves nem o que fazes a seguir. Uma VPN bem construída também encaminha o DNS através dos seus próprios resolvedores dentro do túnel, o que evita fugas de DNS (o modo de falha em que o teu dispositivo recorre silenciosamente ao DNS em texto simples do ISP).

Perguntas frequentes

O que é o DNS seguro? DNS seguro significa cifrar as tuas consultas DNS (normalmente com DoH ou DoT) para que a rede entre ti e o resolvedor não consiga ler, registar ou adulterar os domínios que visitas. O DNS simples envia essas consultas em texto simples na porta 53.

É melhor DoH ou DoT? Cifram o DNS igualmente bem; a diferença é o canal. O DoH usa a porta 443 (a porta HTTPS normal), o que torna mais difícil para uma rede isolá-lo e bloqueá-lo. O DoT usa uma porta dedicada (853), mais fácil de gerir mas também mais fácil de detetar e bloquear. Para privacidade face ao teu ISP, qualquer um é uma grande melhoria.

O DNSSEC cifra o meu DNS? Não. O DNSSEC autentica as respostas DNS para evitar a falsificação, mas não as cifra — a rede continua a poder ver as tuas consultas. Para privacidade precisas de DoH ou DoT; para autenticidade precisas de DNSSEC. São complementares.

Mudar o meu resolvedor DNS chega para a privacidade? É uma melhoria real — as tuas consultas passam a ser cifradas e o teu ISP não as consegue registar — mas só cobre o DNS. O resto do teu tráfego (e a que IPs te ligas) continua visível ao nível da rede. Uma VPN cifra tudo, DNS incluído, num único túnel.

Que resolvedor de DNS seguro devo usar? Quad9 se quiseres bloqueio de malware de uma organização sem fins lucrativos, Cloudflare para um resolvedor rápido de uso geral, NextDNS ou AdGuard se quiseres personalizar a filtragem, ou Mullvad DNS para um resolvedor público que prioriza a privacidade. Todos oferecem endpoints cifrados.

Conclusão

O DNS simples deixa fugir silenciosamente cada site que visitas para o teu ISP e para qualquer pessoa na tua rede. O DNS seguro — cifrado com DoH ou DoT, idealmente através de um resolvedor que valida DNSSEC — fecha essa fuga, e podes ativá-lo no teu navegador, SO ou router em minutos. Escolhe um resolvedor cujo modelo de confiança te sirva (Cloudflare, Quad9, Mullvad, NextDNS ou AdGuard) e, se quiseres fechar a fuga para todo o teu tráfego de uma só vez, fá-lo passar por uma VPN sem registos.