CyberGlossary

Segurança de rede

DNS over HTTPS (DoH)

Também conhecido como: DoH

Definição

Protocolo que transporta consultas e respostas DNS sobre uma ligação HTTPS cifrada, protegendo-as de escuta e manipulação na rede local.

O DoH (RFC 8484) encapsula consultas DNS dentro de pedidos HTTPS enviados a um resolvedor compatível, normalmente na porta 443. Como o tráfego se parece com tráfego web normal, é difícil bloqueá-lo seletivamente e permanece cifrado de ponta a ponta entre o cliente e o resolvedor. Isto impede que atacantes em trânsito, portais cativos ou ISPs observem ou reescrevam as resoluções DNS. O DoH não autentica os dados em si (esse é o papel do DNSSEC), mas preserva a confidencialidade das consultas. Algumas empresas resistem ao DoH porque contorna a filtragem DNS local; mitigações incluem impor um resolvedor gerido, bloquear endpoints públicos conhecidos ou aplicar políticas de DNS seguro via DDR.

Exemplos

  • Um navegador configurado para usar Cloudflare 1.1.1.1 via DoH cifra todas as consultas DNS, independentemente do resolvedor do sistema.
  • Uma operadora móvel não consegue injetar redirecionamentos DNS publicitários porque o dispositivo resolve nomes via DoH.

Termos relacionados