O Firefox começou o rollout de DNS-over-HTTPS por padrão para usuários nos Estados Unidos. A Mozilla adotará a ativação de forma gradual nas próximas semanas, acompanhando impactos antes de expandir a experiência para toda a base norte-americana.12

DNS é uma das camadas mais antigas e expostas da navegação. Ele traduz nomes como mozilla.org para endereços IP, mas tradicionalmente faz isso sem criptografia entre cliente e resolvedor. DoH encapsula essas consultas em HTTPS, reduzindo a capacidade de terceiros na rede interceptarem ou modificarem esse tráfego.

Privacidade chega a uma camada esquecida

Grande parte da web já migrou de HTTP para HTTPS, mas a consulta que antecede a conexão continua revelando intenção de navegação em muitos cenários. Em Wi-Fi público, redes de hotéis, provedores e ambientes compartilhados, DNS claro pode expor domínios acessados mesmo quando o conteúdo da página está protegido por TLS.

A Mozilla argumenta que DoH fecha essa lacuna ao criptografar o caminho entre navegador e resolvedor. Para o usuário comum, a mudança tem valor porque não exige configuração manual, instalação de VPN ou conhecimento de rede. A proteção nasce no navegador, onde a intenção de navegação é iniciada.

O modelo escolhido, porém, concentra responsabilidade nos resolvedores parceiros. A Mozilla cita Cloudflare e NextDNS dentro do programa Trusted Recursive Resolver, com requisitos de política para retenção e tratamento de dados.2 Isso troca uma exposição ampla no caminho de rede por confiança explícita em provedores selecionados.

Redes corporativas precisam de controle explícito

O debate mais difícil está nas organizações. Muitas empresas dependem de DNS interno para split-horizon, bloqueios de segurança, resolução de serviços privados, detecção de malware e políticas de acesso. Se o navegador ignora esse desenho, aplicações internas podem quebrar e controles podem ser contornados.

A Mozilla tenta reduzir esse risco com mecanismos de desativação corporativa. A empresa afirma que o Firefox detecta políticas de enterprise no dispositivo e desabilita DoH nesses casos, além de oferecer documentação para administradores.2 Esse comportamento é essencial para que privacidade de usuário e governança de rede não sejam tratados como uma escolha binária.

Há também preocupação com controles parentais e filtros opt-in de provedores. O rollout precisa respeitar cenários em que o usuário ou responsável configurou proteção deliberadamente. A Mozilla diz que está trabalhando com a indústria para padrões que preservem esses casos.2

DoH muda o perímetro do DNS

Para equipes de segurança, DNS-over-HTTPS exige adaptação. Bloquear simplesmente todo tráfego DoH pode gerar atrito e empurrar usuários para soluções paralelas. Ignorar o tema, por outro lado, reduz visibilidade sobre uma camada usada em investigação, resposta a incidentes e proteção preventiva.

O caminho mais maduro é tornar a política explícita. Empresas podem operar resolvedores próprios, configurar políticas de navegador, documentar exceções e revisar quais controles dependem de DNS claro por conveniência. Se a segurança de uma organização depende de interceptar consultas sem consentimento ou governança, o problema é maior do que o Firefox.

O rollout norte-americano do DoH no Firefox coloca privacidade de infraestrutura no centro da experiência web. A mudança não resolve sozinha rastreamento, malware ou censura, mas torna menos aceitável que uma consulta DNS continue sendo tratada como dado invisível e sem proteção.

  1. Mozilla Blog, "Firefox continues push to bring DNS over HTTPS by default for US users", 25 fev. 2020.
  2. Mozilla Open Policy & Advocacy, "The Facts: Mozilla's DNS over HTTPS (DoH)", 25 fev. 2020.