Índice
- Por que DoH e DoT são importantes em 2026
- Análise aprofundada do Cloudflare 1.1.1.1
- Análise aprofundada do NextDNS
- Análise aprofundada do Quad9
- Análise aprofundada do resolvedor auto-hospedado
- Tabela de comparação: 5 opções × 10 critérios
- Recomendações por perfil
O que é DNS-over-HTTPS e por que é importante?
DNS-over-HTTPS (DoH) encripta consultas DNS dentro do tráfego HTTPS padrão na porta 443, tornando-as indistinguíveis da navegação web regular. Sem encriptação, cada nome de host que resolves — cada site que visitas — viaja em texto simples legível pelo teu ISP, operadores de Wi-Fi público e middleboxes de rede. Em 2026, o DNS não encriptado continua a ser o vetor de vigilância de camada de rede mais amplamente explorado.
Os termos-chave usados neste artigo — DoH, DoT, ECH, SNI, CNAME cloaking — estão definidos no glossário de privacidade e segurança do navegador.
Por que DoH e DoT são importantes em 2026
O DNS foi projetado em 1983 com um único requisito: correção. A privacidade não estava na agenda. Cada consulta DNS que envias — o nome de host de cada site que visitas, cada API que chamas, cada atualização que o teu telefone verifica — viaja em texto simples por padrão. O teu ISP pode lê-lo. O operador de qualquer rede Wi-Fi pública pode lê-lo. Qualquer estado-nação que opere um middlebox numa rede de trânsito pode lê-lo.
Em 2026, isto não é uma ameaça teórica. Mandatos regulatórios para filtragem baseada em DNS estão ativos na UE, Reino Unido, Austrália, Índia e dezenas de outras jurisdições. ISPs em vários países monetizam logs de consultas DNS vendendo-os a corretores de dados. A injeção de conteúdo baseada em DPI — onde o teu ISP reescreve respostas DNS ou injeta conteúdo em conexões HTTP — foi documentada em pelo menos 14 países em 2025. O DNS não encriptado é simultaneamente a superfície de ataque mais fácil na tua rede e a que mais frequentemente fica sem correção.
Dois protocolos abordam isto. DNS-over-TLS (DoT) envolve o DNS numa conexão TLS na porta 853. Encripta a consulta, mas como a porta 853 é exclusiva para DoT, os operadores de rede podem identificar e bloquear o tráfego de forma trivial. DNS-over-HTTPS (DoH) envia consultas DNS dentro do HTTPS padrão na porta 443, indistinguível para observadores passivos da navegação web comum. Isto torna o DoH significativamente mais difícil de censurar e aumenta dramaticamente o custo da vigilância.
Além destes dois, DNS-over-QUIC (DoQ) executa semânticas equivalentes ao DoH sobre o transporte QUIC, eliminando a sobrecarga do handshake TCP e melhorando a latência em redes móveis. A Cloudflare e um pequeno número de outros fornecedores suportam DoQ em 2026, mas o suporte a nível de sistema operativo ainda é limitado.
A mudança no modelo de ameaça desde 2020 — o nosso guia de modelagem de ameaças para utilizadores técnicos explica como formalizar o teu — vale a pena ser nomeada explicitamente. Há três anos, o principal argumento para DNS encriptado era o registo pelo ISP. Isso continua a ser verdade, mas três vetores adicionais surgiram:
Exposição ao RGPD e proteção de dados. Na UE, logs de consultas mantidos por um resolvedor constituem dados pessoais ao abrigo do Artigo 4(1). Se redirecionares todo o DNS doméstico através de um fornecedor comercial com retenção, estás a criar uma relação de controlador de dados à qual a maioria dos utilizadores nunca consentiu de forma significativa.
MITM em WiFi público. Cafés, aeroportos, hotéis e locais de conferências executam rotineiramente a intercepção de DNS. Com DNS não encriptado, eles podem redirecionar-te silenciosamente. O DoH elimina este vetor de ataque porque o endpoint do resolvedor é verificado por certificado TLS.
Bypass de censura. Bloqueios de DNS mandatados pelo estado são a primeira camada de infraestrutura de censura na maioria dos países. Encriptar e tunelar DNS através de um endpoint na porta 443 derrota esta camada sem exigir uma VPN completa. Para utilizadores em ambientes de acesso restrito, o DoH é frequentemente a ferramenta mínima viável de privacidade.
As seções restantes avaliam as quatro principais opções de implementação disponíveis em 2026: Cloudflare 1.1.1.1, NextDNS, Quad9 e resolvedores auto-hospedados. Cada seção cobre suporte a protocolos, postura de privacidade, capacidades de filtragem, jurisdição e histórico de auditorias relevantes.
Análise aprofundada do Cloudflare 1.1.1.1
A Cloudflare lançou o 1.1.1.1 em abril de 2018 como um resolvedor público com foco na privacidade. Em 2026, continua a ser o resolvedor DNS público mais rápido por latência média global e o endpoint DoH mais amplamente implementado na internet, integrado por padrão no Chrome no Android, em vários firmwares de roteadores e na infraestrutura do iOS Private Relay.
Suporte a protocolos. O 1.1.1.1 suporta DoH (RFC 8484), DoT (RFC 7858) e DoQ (RFC 9250). O endpoint DoH é https://cloudflare-dns.com/dns-query e https://1.1.1.1/dns-query. O servidor DoT é one.one.one.one na porta 853. Para DoQ, clientes como o cliente AdGuard DNS suportam o endpoint quic://dns.cloudflare.com.
Postura de privacidade. A Cloudflare publica um relatório anual de privacidade auditado pela KPMG. Compromissos principais: não vender dados de consultas DNS a terceiros, não usar dados de consultas 1.1.1.1 para direcionar anúncios e exclusão de logs de endereços IP completos dentro de 25 horas. Metadados do resolvedor stub (IPs truncados, contagens de consultas agregadas) são retidos para métricas operacionais. A Cloudflare está incorporada nos Estados Unidos, sujeita a NSLs e ordens da FISA Section 702. Para modelos de ameaça que incluem processos legais do governo dos EUA, esta é uma limitação não trivial.
Variantes de filtragem. A Cloudflare opera três resolvedores distintos. O 1.1.1.1 base não aplica filtragem. 1.1.1.2 (Cloudflare Security) bloqueia domínios conhecidos de malware e phishing usando a inteligência de ameaças da Cloudflare. 1.1.1.3 (Cloudflare Family) adiciona filtragem de conteúdo adulto. Os equivalentes DoH usam subdomínios: security.cloudflare-dns.com e family.cloudflare-dns.com.
Latência. A rede Anycast da Cloudflare abrange mais de 300 pontos de presença. A latência média da Europa Ocidental é de aproximadamente 5 a 12ms, a mais baixa de qualquer grande resolvedor público. Do Sudeste Asiático e América Latina, geralmente varia de 15 a 30ms — ainda competitivo com resolvedores de ISP.
Histórico de auditorias. Três auditorias da KPMG foram publicadas (2019, 2021, 2023). Todas confirmaram a conformidade da Cloudflare com as práticas de dados declaradas. A auditoria de 2023 confirmou a ausência de evidências de ligação IP a consultas nos logs retidos. A próxima auditoria programada cobre as operações de 2025.
Veredito. O Cloudflare 1.1.1.1 é a escolha certa para utilizadores que priorizam latência e suporte amplo a plataformas, e cujo modelo de ameaça não inclui especificamente processos legais do governo dos EUA. Para casos de uso de alta sensibilidade, a jurisdição dos EUA é uma limitação genuína.
Análise aprofundada do NextDNS
O NextDNS foi lançado em 2019 como um resolvedor público configurável. O seu principal diferencial é a personalização por conta: listas de bloqueio, listas de permissão, análises, controlos parentais e políticas por dispositivo. Em 2026, o NextDNS tem aproximadamente 2 milhões de utilizadores ativos e processa mais de 200 mil milhões de consultas por mês.
Suporte a protocolos. O NextDNS suporta DoH, DoT, DoQ e DNSCrypt. Cada conta recebe um endpoint de resolvedor único (https://dns.nextdns.io/XXXXXX) permitindo a aplicação de políticas por conta. Isto é arquitetonicamente diferente da Cloudflare e Quad9, que aplicam políticas globais.
Postura de privacidade. O NextDNS está incorporado em Delaware (EUA). O modelo de privacidade é análises opt-in: por padrão, o registo de consultas está desativado. Se ativares os logs, escolhes o período de retenção (uma hora, um dia, uma semana, um mês ou para sempre). O painel mostra análises de consultas em tempo real quando o registo está ativado. A política de privacidade do NextDNS afirma que os dados de consultas não são vendidos ou usados para publicidade. No entanto, a jurisdição dos EUA significa que a mesma ressalva NSL/FISA da Cloudflare se aplica. Para utilizadores que desativam completamente o registo, a exposição prática é mínima.
Listas de bloqueio e personalização. O NextDNS vem com mais de 40 listas de bloqueio curadas: redes de anúncios, rastreadores, malware, phishing, coinminers, conteúdo adulto, redes sociais e mais. Podes combiná-las, adicionar domínios personalizados e criar listas de permissão por dispositivo. O painel de análises mostra quais listas bloquearam mais consultas, tornando a afinação simples. Este nível de controlo não tem equivalente na Cloudflare ou Quad9.
Preços. Plano gratuito: 300 000 consultas por mês, todas as funcionalidades. Um utilizador ativo típico gera 50 000 a 150 000 consultas por mês. Famílias ou configurações de rede facilmente excedem 300 000. O plano Pro custa $1.99 por mês ou $19.90 por ano, sem limite de consultas. Por padrões de software de privacidade, é barato.
Desempenho. O NextDNS opera centros de dados na Europa e América do Norte, com uma pegada menor que a Cloudflare. A latência média da Europa Ocidental é de aproximadamente 15 a 25ms. De regiões fora da cobertura do NextDNS, a latência pode subir para 60 a 100ms. Para utilizadores na Europa Central ou Oriental, Ásia ou América Latina, a latência é uma consideração real.
Veredito. O NextDNS é a melhor escolha para utilizadores que desejam controlo profundo de filtragem, políticas por dispositivo e análises em tempo real. A jurisdição dos EUA e a menor pegada de PoP são as duas principais limitações em relação ao Quad9.
Qual fornecedor de DNS é melhor para privacidade: Quad9 vs Cloudflare?
Para utilizadores focados em privacidade, Quad9 é a escolha mais forte: é uma organização sem fins lucrativos suíça, não regista endereços IP, aplica DNSSEC e não tem incentivo de receita de publicidade. Cloudflare 1.1.1.1 é mais rápido globalmente (média ~10ms vs ~13ms na Europa) e auditado pela KPMG, mas é uma corporação dos EUA sujeita a processos legais NSL/FISA. Escolhe Cloudflare para velocidade; escolhe Quad9 se o teu modelo de ameaça incluir compulsão legal do governo dos EUA.
Análise aprofundada do Quad9
O Quad9 foi lançado em novembro de 2017 como um projeto conjunto entre IBM, Packet Clearing House e a Global Cyber Alliance. Em 2020, mudou a sua sede de São Francisco para Zurique, Suíça, e reestruturou-se como uma fundação sem fins lucrativos suíça. Esta mudança foi deliberada: a lei suíça oferece um dos regimes de proteção de dados mais fortes para um resolvedor, sem retenção obrigatória de logs de consultas e sem estrutura de vigilância em massa equivalente à FISA Section 702 dos EUA.
Suporte a protocolos. O Quad9 suporta DoH (https://dns.quad9.net/dns-query), DoT (dns.quad9.net na porta 853) e DNSCrypt. O suporte a DoQ está no roteiro, mas ainda não está disponível em produção em meados de 2026.
Postura de privacidade. O compromisso central do Quad9 é não registar endereços IP de utilizadores finais em produção. O conteúdo das consultas (o nome de host consultado) é usado em agregado para inteligência de ameaças, mas não é ligado a endereços IP. O Quad9 publica um relatório anual de transparência. Sendo uma fundação suíça, não está sujeita a NSLs dos EUA ou ordens da FISA. O RGPD da UE aplica-se através da presença europeia do Quad9. Em 2021, o tribunal regional alemão em Munique inicialmente emitiu uma injunção ordenando que o Quad9 bloqueasse um domínio de pirataria específico; o Quad9 recorreu e venceu em todos os pontos, estabelecendo que um resolvedor DNS não é responsável pelo conteúdo que resolve.
Filtragem de malware. O feed de segurança do Quad9 agrega inteligência de ameaças de mais de 25 parceiros, incluindo F-Secure, Secureworks, Abuse.ch e vários CERTs nacionais. O endpoint padrão (9.9.9.9, 149.112.112.112) bloqueia domínios associados a malware, ransomware, phishing e infraestrutura de comando e controlo de botnets. Um endpoint não filtrado está disponível em 9.9.9.10 para utilizadores que desejam encriptação sem bloqueio.
Desempenho. O Quad9 opera aproximadamente 200 PoPs, principalmente na Europa e América do Norte. A latência média da Europa Ocidental é de 8 a 18ms. A cobertura no Sudeste Asiático, América Latina e África é mais reduzida que a da Cloudflare, mas está a expandir-se. Para utilizadores europeus, o Quad9 está tipicamente a poucos milissegundos da Cloudflare.
Veredito. O Quad9 é a opção de resolvedor público mais forte para utilizadores com um modelo de ameaça de privacidade sério. A jurisdição suíça, estrutura sem fins lucrativos, ausência de registo de IP e filtragem robusta de malware fazem dele a recomendação padrão para utilizadores que desejam um resolvedor gerido sem auto-hospedagem.
Análise aprofundada do resolvedor auto-hospedado
Auto-hospedar um resolvedor DNS elimina completamente o problema de registo por terceiros. Nenhuma entidade externa recebe o teu log de consultas. A troca é a complexidade operacional: és responsável pelo tempo de atividade, aplicação de patches de segurança e correção de configuração.
As quatro opções mais práticas em 2026 são:
Unbound. Um resolvedor recursivo e validante mantido pela NLnet Labs. O Unbound realiza validação completa de DNSSEC e suporta DoT como um encaminhador upstream. Não suporta nativamente o DoH no lado do servidor, mas combina bem com um frontend DoH como o dnsdist. O Unbound é a escolha de referência para utilizadores que desejam um resolvedor enxuto e auditável. A configuração é baseada em texto e bem documentada.
AdGuard Home. Um servidor DNS completo com uma interface web integrada, motor de bloqueio e políticas por cliente. O AdGuard Home suporta DoH, DoT, DoQ e DNSCrypt tanto no lado upstream quanto no lado do ouvinte. A configuração leva menos de 30 minutos em qualquer sistema Linux. A interface de bloqueio é a mais acessível das opções auto-hospedadas. O AdGuard Home é open-source (GPL-3.0) e mantido ativamente.
Pi-hole com um proxy DoH. O Pi-hole é o bloqueador de DNS doméstico mais conhecido, direcionado principalmente a anúncios e rastreadores. Por padrão, não encripta consultas upstream. Adicionar dnscrypt-proxy ou cloudflared como um proxy DoH local fornece encriptação. Esta configuração de dois componentes é funcional, mas tem mais partes móveis que o AdGuard Home.
dnscrypt-proxy. Um proxy flexível e de baixo consumo que suporta DoH, DoT, DNSCrypt e DNSCrypt anonimizado (roteando consultas através de um relé para ocultar o resolvedor do IP de origem). O dnscrypt-proxy é a ferramenta certa para utilizadores que desejam máxima flexibilidade de protocolo ou roteamento anonimizado. Funciona em Linux, macOS, Windows e BSD.
Considerações de implementação. Para uso doméstico, um Raspberry Pi 4 executando o AdGuard Home lida com o tráfego doméstico com menos de 5% de carga de CPU. Para uma pequena equipa ou escritório, um VPS de $6/mês é suficiente. O principal risco operacional é a disponibilidade: se o teu resolvedor falhar e o tiveres codificado como o único servidor de nomes, a resolução DNS falha para todos os dispositivos na rede. Configurar um upstream de fallback — idealmente Quad9 ou outro resolvedor sem registo — mitiga isto.
Veredito. A auto-hospedagem é a opção de máxima privacidade e vale o custo de configuração para utilizadores avançados, famílias focadas em privacidade e pequenas equipas. O AdGuard Home é o ponto de partida recomendado para a maioria dos utilizadores; o Unbound é a escolha para utilizadores que desejam uma pilha enxuta e com o mínimo de dependências.
Tabela de comparação: 5 opções × 10 critérios
| Critério | Cloudflare 1.1.1.1 | NextDNS | Quad9 | Auto-hospedado (AdGuard Home) | Auto-hospedado (Unbound) |
|---|---|---|---|---|---|
| Jurisdição | EUA | EUA | Suíça | Tu | Tu |
| Protocolos de encriptação | DoH, DoT, DoQ | DoH, DoT, DoQ, DNSCrypt | DoH, DoT, DNSCrypt | DoH, DoT, DoQ, DNSCrypt | DoT (upstream), DoH via proxy |
| Filtro de malware | Opcional (1.1.1.2) | Sim (configurável) | Sim (padrão) | Sim (listas de bloqueio) | Não (lista de bloqueio via RPZ) |
| Listas de bloqueio personalizadas | Não | Sim (40+ curadas + personalizadas) | Não | Sim (extensivas) | Sim (RPZ/zonas locais) |
| Análises de consultas | Não | Opcional (opt-in) | Não | Sim (local apenas) | Não |
| Auditoria independente | Sim (KPMG anual) | Não | Sim (transparência anual) | N/A | N/A |
| Preço | Gratuito | Gratuito / $1.99/mês | Gratuito | Gratuito (custo de hardware) | Gratuito (custo de hardware) |
| Latência Europa/EUA | ~10ms / ~5ms | ~20ms / ~10ms | ~13ms / ~8ms | <5ms (local) | <5ms (local) |
| Bypass de censura | Bom | Bom | Bom | Excelente | Excelente |
| Auto-hospedagem possível | Não | Não | Não | Sim | Sim |
Recomendações por perfil
Utilizador avançado doméstico. Implementa o AdGuard Home num Raspberry Pi ou mini PC. Configura o Quad9 DoH como o resolvedor upstream. Isto dá-te controlo local sobre listas de bloqueio, zero registo de consultas externas, upstream de jurisdição suíça e proteção contra malware. A configuração leva duas horas; a manutenção é inferior a 30 minutos por mês.
Desenvolvedor com uma VPN. Usa o NextDNS com o registo desativado. O sistema de políticas por dispositivo permite-te alternar o bloqueio ligado e desligado por ambiente. O endpoint DoH integra-se de forma limpa em configurações de VPN de túnel dividido. Se o teu fornecedor de VPN oferecer o seu próprio resolvedor encriptado — vê o nosso benchmark de VPN para utilizadores técnicos — prefere isso: reduz o número de entidades que podem correlacionar as tuas consultas.
Família com crianças. NextDNS Pro com as pilhas de Proteção de Inteligência de Ameaças + Proteção de Rastreamento Nativo + Controlo Parental ativadas. O sistema de políticas por dispositivo permite-te definir regras mais rigorosas para dispositivos de crianças sem afetar dispositivos de adultos. Ativa o registo de consultas por uma semana para afinar as listas de bloqueio, depois define a retenção para uma hora ou desativa-o.
Perfil paranoico ou corporativo. Unbound auto-hospedado num VPS reforçado numa jurisdição que controlas, com validação DNSSEC ativada, sem registo de encaminhador e roteamento anonimizado dnscrypt-proxy para o passo recursivo. Emparelha com um firewall a nível de rede que bloqueia todo o UDP/53 e TCP/853 de saída, exceto através da tua pilha controlada. Esta configuração maximiza o número de atores que podes remover do caminho da consulta.
Para todos os perfis: independentemente do resolvedor que escolheres, também aplica DNS encriptado a nível de sistema operativo ou roteador em vez de confiar apenas no DoH a nível de navegador. O DoH a nível de navegador cria uma divisão onde algumas aplicações usam o resolvedor configurado e outras usam o próprio endpoint do navegador. A configuração a nível de sistema fecha esta lacuna. Uma vez que tudo esteja no lugar, verifica a configuração de ponta a ponta com o nosso guia de deteção de fugas de rede.
Recursos internos: Estado da privacidade do navegador 2026 cobre impressão digital, identidade TLS e reforço a nível de sistema operativo que complementam a encriptação DNS. Modo de Bloqueio do iOS e desempenho do JSC examina os trade-offs do modo de isolamento máximo em dispositivos Apple. Para operadores que gerem as suas próprias propriedades web, o nosso verificador de cabeçalhos de segurança HTTP audita os cabeçalhos de resposta que o teu servidor envia — incluindo HSTS, CSP e políticas de referenciador que complementam uma postura de DNS encriptado.
