Configurar DNS sobre HTTPS (DoH) com Umbrella

Opções de download

  • PDF     (447.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (263.5 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (169.5 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:28 de agosto de 2025
ID do documento:224705

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introdução

    Este documento descreve como o Umbrella suporta DNS sobre HTTPS (DoH), criptografando consultas DNS para privacidade.

    Overview

    O Cisco Umbrella suporta DNS sobre HTTPS (DoH), permitindo que as consultas de DNS sejam criptografadas e protegidas contra interceptação ou modificação. Usar este ponto de extremidade do DoH:

    Hostname Descrição
    doh.umbrella.com Interface para o serviço DNS padrão da Umbrella (208.67.222.222/220.220)


    As etapas para usar o DoH com o Umbrella dependem do seu navegador e do sistema operacional.

    Mozilla Firefox

    Detalhes e instruções estão disponíveis no Mozilla. O Firefox pode ser configurado para usar o Umbrella como um DNS personalizado sobre provedor HTTPS.

        1. Navegue para Options > General > Network Settings e selecione Enable DNS over HTTPS.
        2. Em Usar provedor, escolha Personalizar e insira o modelo de URI
        3. https://umbrella.cisco.com/doh-help
        1. Selecione OK e suas consultas serão criptografadas.

    Preferences.pngPreferências.png

    Google Chrome

    Detalhes e instruções sobre a configuração estão disponíveis no Chromium Blog. O Chrome habilita automaticamente o uso do DoH se o Secure DNS estiver habilitado e vê os endereços IP de anycast do Umbrella usados pelo sistema operacional para DNS. 

    Configure o sistema operacional para usar estes endereços IP como servidores DNS:

    Serviço Endereços IPv4 Endereços IPv6
    DNS de guarda-chuva 208.67.222.222
    208.67.220.220    		 2620:119:35::35
    2620:119:53::53
    1. Nas configurações do Chrome, navegue até Privacidade e segurança >Segurança (Ou digite chrome://settings/security na barra de endereços).
    2. Habilite Usar DNS seguro.
    3. Suas consultas DNS agora estão criptografadas. Você pode visitar a página de teste do DoH do Umbrella para verificar sua configuração.
    note-icon

    Note: O Chrome procura os endereços IP Umbrella especificamente ao decidir se vai atualizar para DoH. Isso significa que, se você estiver configurado para usar o endereço IP de um servidor DNS local ou encaminhador, o Chrome não poderá atualizar para o uso do DoH, mesmo que esse servidor encaminhe para o Umbrella.

    Se o seu computador for considerado gerenciado pelo Chrome, que é provavelmente se o seu computador for fornecido pelo seu trabalho ou escola, ele não poderá ser atualizado automaticamente para usar DoH, e essa configuração não poderá ser visível ou configurável.

    Em vez da atualização automática baseada em IP, você pode configurar o Umbrella diretamente definindo um provedor personalizado. Em Use secure DNS, selecione With e escolha Custom no menu suspenso. Quando ele solicitar a inserção de um provedor personalizado, adicione o modelo de URI Umbrella neste formato:

    https://doh.umbrella.com/dns-query


    Caveats

    Há algumas situações que você pode encontrar que causam um conflito entre DoH e Umbrella SWG (especialmente o módulo AnyConnect):

    1. O recurso Domínios externos no AnyConnect permite que domínios e endereços IP ignorem o Umbrella SWG indo diretamente para a Internet. Ele não pode ser configurado por nome de domínio ou FQDN (Frequently Qualified Domain Name, Nome de domínio frequentemente qualificado) quando DoH é usado. Isso ocorre porque o AnyConnect conta com o cache DNS no sistema operacional para vincular nomes de domínio a endereços IP ao detectar quais solicitações vão para o SWG e quais as ignoram. Quando o DOH é utilizado (especialmente por um navegador), o resolvedor de stub DNS para o sistema operacional é ignorado e, consequentemente, nenhuma entrada de cache DNS é criada. Isso faz com que o AnyConnect não consiga correlacionar um nome de domínio ou FQDN para ignorar, com o pacote que está vendo.

      Soluções

      Desabilite o DOH em estações de trabalho usando o AnyConnect para Umbrella SWG e/ou configure Domínios externos (exceções SWG) por endereço IP em vez de domínio ou FQDN.

    2. Se o DoH for usado para a resolução de recursos internos (como example.local ou example.corp) por um servidor DNS interno, o AnyConnect Umbrella SWG deverá ser configurado para não interceptar essas solicitações DOH. Isso ocorre porque o DoH se parece com qualquer outra solicitação HTTPS e o módulo SWG a intercepta e a redireciona para o Umbrella. Se o servidor do DoH não estiver acessível a partir da nuvem Umbrella, a consulta nunca alcança o servidor DNS interno destinado.

    Histórico de revisões

    Revisão Data de publicação Comentários
    1.0
    28-Aug-2025
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Tab Berger
      Líder de entrega ao cliente

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos