O que é DNSSEC e DoH? | Guia de Segurança DNS
Entenda como DNSSEC e DNS-over-HTTPS (DoH) protegem sua navegação contra ataques. Um guia completo sobre a segurança do sistema de nomes de domínio (DNS).
O Sistema de Nomes de Domínio (DNS) é a espinha dorsal da internet, traduzindo nomes como formatador.com.br para endereços de IP. No entanto, por padrão, ele é antigo e inseguro. Duas tecnologias modernas, DNSSEC e DoH, foram criadas para resolver suas principais vulnerabilidades: autenticidade e privacidade.
O que é DNSSEC (Domain Name System Security Extensions)?
Pense no DNSSEC como um selo de autenticidade para as respostas DNS. Ele não criptografa os dados, mas garante que a resposta que você recebeu é genuína e não foi alterada no caminho por um invasor.
- Como funciona: Ele usa assinaturas digitais para criar uma "cadeia de confiança". Quando você consulta um domínio com DNSSEC, seu resolvedor de DNS verifica as assinaturas em cada etapa, desde a raiz até o domínio final. Se alguma assinatura falhar, a resposta é descartada.
- O que ele previne: Ataques de "envenenamento de cache DNS" (DNS cache poisoning), onde um invasor redireciona você para um site malicioso (ex: um site de phishing) ao falsificar a resposta DNS do site legítimo.
O que é DoH (DNS-over-HTTPS) e DoT (DNS-over-TLS)?
Pense no DoH e no DoT como um túnel seguro e criptografado para suas consultas DNS. Eles não validam a resposta, mas garantem que ninguém no meio do caminho (como seu provedor de internet ou alguém em uma rede Wi-Fi pública) possa ver ou interceptar quais sites você está tentando acessar.
- Como funciona: Sua consulta DNS é envolvida em uma camada de criptografia HTTPS (a mesma que protege sites de bancos) antes de ser enviada.
- O que ele previne: Espionagem e rastreamento. Sem DoH, suas consultas DNS são enviadas em texto puro, permitindo que seu provedor de internet saiba (e potencialmente venda) seu histórico de navegação.
DNSSEC vs. DoH: Autenticidade vs. Privacidade
| Característica | DNSSEC | DoH / DoT |
|---|---|---|
| Objetivo Principal | Garantir que a resposta DNS é autêntica e não foi falsificada. | Garantir que a consulta DNS é privada e não pode ser lida por terceiros. |
| O que protege? | A integridade dos dados. | A confidencialidade da consulta. |
| Usa Criptografia? | Não (usa assinaturas digitais). | Sim (TLS/HTTPS). |
Conclusão: DNSSEC e DoH não são concorrentes; eles se complementam. O DNSSEC garante que você está falando com o servidor certo, e o DoH garante que ninguém mais saiba sobre essa conversa. Para uma navegação verdadeiramente segura, o ideal é usar ambos.
Para entender os fundamentos do DNS antes de mergulhar na segurança, confira nossas ferramentas como o Verificador de Registro A/AAAA.