O Que E DNS Privado? Como Funciona e Como Configurar

O Que E DNS Privado?

DNS privado e um recurso que criptografa suas consultas DNS para que ninguem entre o seu dispositivo e o servidor DNS possa ver quais sites voce esta acessando. Ele usa protocolos como DNS over TLS (DoT) ou DNS over HTTPS (DoH) para envolver suas consultas em um tunel criptografado.

Sem o DNS privado, cada nome de dominio que voce digita no navegador e enviado como texto puro pela internet. Seu provedor de internet, qualquer pessoa na sua rede Wi-Fi e qualquer intermediario no caminho da rede podem ler e ate modificar essas consultas. O DNS privado impede isso ao criptografar a conexao entre o seu dispositivo e o resolvedor DNS.

O termo 'DNS privado' e mais comumente associado a configuracao do Android introduzida no Android 9 Pie (2018), mas a tecnologia por tras — DNS criptografado — esta disponivel em todas as principais plataformas, incluindo iOS, Windows, macOS e Linux.

Como o DNS Comum Funciona (E Por Que Isso E um Problema)

O DNS tradicional envia consultas em texto puro desde 1987. Quando voce digita um nome de dominio no navegador, seu dispositivo envia uma consulta DNS via UDP porta 53 para um resolvedor DNS (geralmente o servidor do seu provedor de internet). O resolvedor responde com o endereco IP — tudo completamente sem criptografia.

Isso significa que qualquer pessoa no caminho da sua rede pode ver cada dominio que voce visita. Seu provedor de internet pode construir um perfil completo de navegacao. Atacantes em Wi-Fi publico podem interceptar suas consultas. Alguns provedores ate sequestram respostas DNS para redirecionar voce para suas proprias paginas de busca ou anuncios.

O DNS tambem e vulneravel a ataques de envenenamento de cache e spoofing onde um atacante envia respostas falsificadas, redirecionando voce para sites maliciosos sem que voce saiba. O DNS tradicional nao possui nenhum mecanismo nativo para verificar se a resposta realmente veio do servidor DNS real.

Como o DNS Privado Funciona

O DNS privado envolve suas consultas DNS dentro de uma conexao criptografada. Em vez de enviar uma consulta em texto puro na porta UDP 53, seu dispositivo estabelece uma sessao criptografada com o resolvedor DNS primeiro, e depois envia a consulta por esse tunel seguro.

O resolvedor DNS descriptografa sua consulta, resolve o nome de dominio para um endereco IP, criptografa a resposta e a envia de volta. Toda a troca e invisivel para qualquer pessoa monitorando a rede — eles podem ver que voce esta se comunicando com um servidor DNS, mas nao podem ver quais dominios voce esta consultando.

Existem tres protocolos de DNS criptografado em uso hoje: DNS over TLS (DoT), DNS over HTTPS (DoH) e DNS over QUIC (DoQ). Cada um adota uma abordagem diferente para criptografar a mesma consulta DNS subjacente.

DNS over TLS vs DNS over HTTPS vs DNS over QUIC

DoT e o protocolo mais usado para DNS privado em nivel de sistema (Android, Linux). Ele usa uma porta dedicada (853), tornando facil para administradores de rede identifica-lo e bloquea-lo.

DoH e o preferido pelos navegadores web porque se mistura ao trafego HTTPS comum na porta 443, tornando praticamente impossivel bloquea-lo sem quebrar toda a web. Chrome, Firefox e Edge suportam DoH nativamente.

DoQ e o protocolo mais recente (2022) e o mais rapido. Ele usa transporte QUIC com criptografia TLS 1.3 integrada e pode estabelecer conexoes com zero viagens de ida e volta (0-RTT). O Android 13+ suporta DoQ, e provedores como AdGuard planejam torna-lo seu protocolo padrao.

Como Ativar o DNS Privado no Android

O Android possui suporte nativo ao DNS Privado desde o Android 9 Pie (2018). Ele usa DNS over TLS e se aplica em todo o sistema para todos os aplicativos.

• Passo 1: Abra Configuracoes > Rede e Internet (ou Conexoes em aparelhos Samsung)

• Passo 2: Toque em DNS Privado (pode ser necessario tocar em 'Avancado' ou 'Mais configuracoes de conexao' primeiro)

• Passo 3: Selecione Nome do host do provedor de DNS privado

• Passo 4: Digite um hostname DoT. Exemplos: 1dot1dot1dot1.cloudflare-dns.com (Cloudflare), dns.google (Google), dns.quad9.net (Quad9), dns.adguard-dns.com (AdGuard)

• Passo 5: Toque em Salvar. O Android verificara a conexao — se falhar, mostrara um erro

Como Ativar o DNS Privado no iPhone e iPad

A Apple nao possui um botao simples como o Android. O DNS criptografado no iOS exige a instalacao de um perfil de configuracao ou o uso de um aplicativo de DNS.

• Metodo 1: Aplicativo de DNS — Instale o app 1.1.1.1 (Cloudflare), NextDNS ou AdGuard pela App Store. Abra o app e ative o DNS criptografado. Ele aparecera em Ajustes > Geral > VPN, DNS e Gerenciamento de Dispositivos.

• Metodo 2: Perfil de Configuracao — Baixe um arquivo .mobileconfig de uma fonte confiavel (como o repositorio paulmillr/encrypted-dns no GitHub). Va em Ajustes > Geral > VPN, DNS e Gerenciamento de Dispositivos, selecione o perfil baixado e toque em Instalar.

• Metodo 3: DNS Por Rede — Va em Ajustes > Wi-Fi, toque no (i) ao lado da sua rede, toque em Configurar DNS, selecione Manual e adicione os IPs do servidor DNS (ex.: 1.1.1.1, 1.0.0.1). Nota: isso NAO criptografa o DNS — apenas muda o resolvedor.

Como Ativar o DNS over HTTPS no Windows 11

O Windows 11 suporta DNS over HTTPS nativamente. Ele ja vem com uma lista de provedores DoH reconhecidos, incluindo Cloudflare, Google e Quad9.

• Passo 1: Abra Configuracoes > Rede e Internet > Wi-Fi (ou Ethernet)

• Passo 2: Clique em Propriedades do hardware da sua conexao

• Passo 3: Clique em Editar ao lado de Atribuicao de servidor DNS

• Passo 4: Selecione Manual, ative IPv4

• Passo 5: Digite um servidor DNS primario (ex.: 1.1.1.1), defina DNS over HTTPS como Ativado (modelo automatico)

• Passo 6: Digite um servidor DNS secundario (ex.: 1.0.0.1), defina DoH como Ativado tambem

• Passo 7: Clique em Salvar. A entrada DNS agora deve mostrar o rotulo Criptografado

# View pre-configured DoH providers in Windows 11
netsh dns show encryption

# Add a custom DoH provider via PowerShell
Add-DnsClientDohServerAddress -ServerAddress '1.1.1.1' -DohTemplate 'https://cloudflare-dns.com/dns-query' -AllowFallbackToUdp $False -AutoUpgrade $True

Como Ativar o DNS Privado no macOS

O macOS suporta DNS criptografado por meio de perfis de configuracao (igual ao iOS) ou por aplicativos de DNS.

• Metodo 1: Aplicativo de DNS — Instale o app Cloudflare 1.1.1.1 (ou similar) e ative-o. O app configura DoH ou DoT em nivel de sistema.

• Metodo 2: Perfil de Configuracao — Baixe um arquivo .mobileconfig, clique duas vezes para instalar e depois aprove em Ajustes do Sistema > Privacidade e Seguranca > Perfis.

• Metodo 3: Terminal (avancado) — Use networksetup para alterar os servidores DNS, mas note que alterar o DNS pela linha de comando por si so NAO ativa a criptografia. Voce ainda precisa de um perfil ou app para DNS criptografado.

Melhores Provedores de DNS Privado (2026)

Cloudflare 1.1.1.1 e o resolvedor DNS publico mais rapido e suporta todos os tres protocolos criptografados (DoT, DoH, DoQ). Ele oferece variantes para familias: security.cloudflare-dns.com (bloqueio de malware) e family.cloudflare-dns.com (bloqueio de malware + conteudo adulto). A Cloudflare se compromete a nao registrar seu endereco IP e e auditada anualmente.

Google Public DNS e o resolvedor publico mais utilizado. Ele suporta DoT e DoH, mas registra dados temporarios por 24-48 horas antes de anonimizar. Se privacidade absoluta e sua prioridade, Cloudflare ou Quad9 sao melhores opcoes.

Quad9 opera sob jurisdicao suica com politicas rigorosas de nao registro de IP. Ele bloqueia automaticamente dominios maliciosos conhecidos usando inteligencia de ameacas de mais de 25 empresas de seguranca cibernetica — tornando-o a melhor escolha para usuarios focados em seguranca.

AdGuard DNS bloqueia anuncios e rastreadores no nivel DNS, o que significa que anuncios sao bloqueados em todo o dispositivo sem precisar instalar um bloqueador de anuncios. Foi um dos primeiros a adotar DNS over QUIC e planeja tornar o DoQ seu protocolo padrao.

NextDNS oferece o maior controle. Voce recebe um hostname personalizado, listas de bloqueio configuraveis, analises por dispositivo, controle parental e um painel para ver exatamente o que esta sendo bloqueado. O plano gratuito inclui 300.000 consultas por mes.

Beneficios de Usar DNS Privado

Ativar o DNS privado nos seus dispositivos proporciona melhorias imediatas de seguranca e privacidade.

• Impede a espionagem do provedor — Seu provedor de internet nao pode mais ver quais dominios voce consulta nem construir um perfil de navegacao a partir do seu trafego DNS

• Previne spoofing de DNS — A autenticacao TLS verifica que voce esta se comunicando com o servidor DNS real, nao com um atacante

• Protege em Wi-Fi publico — Outros usuarios na mesma rede nao podem interceptar suas consultas DNS

• Bloqueia sequestro de DNS — Suas consultas nao podem ser silenciosamente redirecionadas por um roteador comprometido ou rede maliciosa

• Contorna proxies DNS transparentes — Alguns provedores interceptam DNS na porta 53 mesmo quando voce usa servidores de terceiros. O DNS criptografado usa portas diferentes, contornando esses proxies

• Bloqueio opcional de anuncios e malware — Provedores como AdGuard, NextDNS e Quad9 podem bloquear anuncios, rastreadores e dominios maliciosos no nivel DNS

• Funciona em todo o sistema — Uma vez ativado, o DNS privado protege todos os aplicativos no seu dispositivo, nao apenas o navegador

Possiveis Desvantagens do DNS Privado

O DNS privado nao e perfeito. Aqui estao as desvantagens que voce deve conhecer.

• Leve latencia na primeira consulta — O handshake TLS adiciona aproximadamente 15-35ms a primeira consulta DNS. Depois disso, a conexao e reutilizada e as consultas seguintes sao tao rapidas quanto antes.

• Portais cativos podem parar de funcionar — Redes Wi-Fi de hoteis, aeroportos e cafeterias que exigem uma pagina de login geralmente precisam de DNS nao criptografado para redirecionar voce. O DNS privado pode impedir que esses portais carreguem.

• Redes corporativas podem bloquear — Departamentos de TI precisam de visibilidade DNS para monitoramento de seguranca. Muitas redes empresariais bloqueiam intencionalmente DNS criptografado para resolvedores externos.

• Preocupacao com centralizacao — O DNS criptografado incentiva o uso de poucos grandes resolvedores (Cloudflare, Google), concentrando o trafego DNS com menos empresas.

• Nao criptografa tudo — O DNS privado criptografa consultas de dominio, mas seu provedor de internet ainda pode ver os enderecos IP aos quais voce se conecta via SNI no handshake TLS (a menos que voce tambem use ECH).

• Problemas com DNS split-horizon — Organizacoes que usam DNS interno diferente do externo podem ter problemas quando dispositivos ignoram o resolvedor interno.

'Esta Rede Esta Bloqueando Trafego DNS Criptografado' — O Que Significa

Se voce vir este aviso no seu iPhone ou Mac, significa que a rede a qual voce esta conectado esta impedindo que suas consultas DNS criptografadas cheguem ao destino. Suas consultas DNS estao sendo enviadas em texto puro, e qualquer pessoa na rede pode ver quais dominios voce visita.

Este aviso geralmente aparece em redes corporativas, Wi-Fi de escolas, redes de hoteis e aeroportos com portais cativos, e redes com firmware de roteador antigo que nao suporta DNS criptografado.

• Reinicie seu dispositivo e roteador — Isso reseta os processos de rede e frequentemente resolve problemas temporarios

• Esqueca a rede Wi-Fi e reconecte — Va ate as configuracoes de Wi-Fi, esqueca a rede e depois reconecte

• Atualize o firmware do roteador — Firmware antigo pode nao lidar com trafego DNS criptografado corretamente

• Use uma VPN — Uma VPN criptografa todo o trafego incluindo DNS, contornando qualquer bloqueio de DNS no nivel da rede

• Aceite em redes gerenciadas — Em redes corporativas ou de escolas, o bloqueio de DNS criptografado e frequentemente intencional para monitoramento de seguranca. Voce pode nao conseguir contorna-lo

Como Verificar Se o DNS Privado Esta Funcionando

Apos ativar o DNS privado, voce deve verificar se suas consultas estao realmente sendo criptografadas e roteadas pelo provedor escolhido.

• Pagina de diagnostico da Cloudflare — Visite 1.1.1.1/help para ver se voce esta usando DoH, DoT ou DNS em texto puro, e qual resolvedor esta processando suas consultas

• Teste de vazamento de DNS — Visite dnsleaktest.com e execute o teste estendido. Se voce ver apenas os servidores do provedor escolhido (nao os do seu provedor de internet), seu DNS criptografado esta funcionando corretamente

• Use nossa ferramenta de Consulta DNS — A Consulta DNS do DNS Robot permite consultar servidores DNS especificos para verificar se estao respondendo como esperado

• Teste de vazamento do navegador — Visite browserleaks.com/dns para verificar quais servidores DNS seu navegador esta usando

# Test DNS over TLS with kdig
kdig -d @1.1.1.1 +tls-ca +tls-host=cloudflare-dns.com example.com

# Check which resolver is responding
dig whoami.cloudflare.com TXT @1.1.1.1

# Test DNS over HTTPS with curl
curl -s -H 'accept: application/dns-json' \
  'https://cloudflare-dns.com/dns-query?name=example.com&type=A'