Ilustracao da resolucao DNS ao redor do mundo

Voce ja se perguntou como o navegador sabe exatamente onde encontrar seu site quando alguem digita meusite.com.br? A resposta e o DNS (Domain Name System) — um dos pilares mais importantes e ao mesmo tempo mais invisiveis da internet.

DNS e frequentemente comparado a uma agenda telefonica da internet. Assim como voce consulta o nome de uma pessoa para encontrar seu numero de telefone, o DNS consulta um nome de dominio para encontrar o endereco IP do servidor onde o site esta hospedado. Sem o DNS, teriamos que decorar sequencias de numeros como 192.168.1.1 para acessar qualquer site.

Como funciona a resolucao DNS?

Quando um usuario digita um endereco no navegador, uma serie de consultas acontece em fracoes de segundo. Vamos detalhar cada etapa:

  1. Consulta ao cache do navegador e do sistema operacional — O navegador verifica primeiro se ja possui o IP daquele dominio armazenado em cache. Se encontrar, a consulta termina aqui (tipicamente leva menos de 1ms).
  2. Consulta ao Recursive Resolver — Se nao ha cache, a requisicao vai para o recursive resolver, geralmente mantido pelo seu provedor de internet (ISP) ou por servicos como Cloudflare (1.1.1.1) e Google (8.8.8.8).
  3. Consulta ao Root Nameserver — O recursive resolver pergunta a um dos 13 root nameservers do mundo: "Qual o servidor responsavel pelo TLD .com?" (ou .br, .org, etc.).
  4. Consulta ao TLD Nameserver — O root server responde com o endereco do TLD nameserver (.com ou .br). O resolver entao pergunta a ele: "Qual o nameserver autoritativo para meusite.com.br?"
  5. Consulta ao Authoritative Nameserver — O TLD server responde com o endereco do nameserver autoritativo (ex: da Hostinger ou Cloudflare). O resolver pergunta entao: "Qual o IP de meusite.com.br?"
  6. Resposta final — O nameserver autoritativo retorna o endereco IP (ex: 192.0.2.1). O resolver armazena em cache e devolve ao navegador, que entao faz a requisicao HTTP para esse IP.

Todo esse processo leva entre 20ms e 200ms em circunstancias normais. O cache e o principal responsavel por manter a navegacao rapida.

Curiosidade: Existem apenas 13 root nameservers no mundo (identificados como A a M), mas eles sao replicados em centenas de servidores ao redor do globo usando Anycast. Isso garante que a consulta inicial seja sempre atendida pelo servidor mais proximo geograficamente.

Tipos de registros DNS

O DNS nao serve apenas para traduzir dominios em IPs. Existem varios tipos de registros, cada um com uma funcao especifica:

  • Registro A (Address): Mapeia um dominio diretamente para um endereco IPv4. Ex: meusite.com.br -> 192.0.2.1. E o registro mais basico e essencial.
  • Registro AAAA (Quad A): Similar ao A, mas para enderecos IPv6. Ex: meusite.com.br -> 2001:db8::1. Cada vez mais necessario com o esgotamento dos IPv4.
  • Registro CNAME (Canonical Name): Cria um alias de um dominio para outro. Ex: www.meusite.com.br -> meusite.com.br. Muito usado para apontar subdominios para servicos terceiros.
  • Registro MX (Mail Exchange): Define para onde os emails do dominio devem ser encaminhados. Essencial para contas de email profissionais.
  • Registro TXT (Text): Armazena dados textuais arbitrarios. Usado para verificacao de propriedade (Google Search Console), SPF, DKIM e DMARC para autenticacao de email.
  • Registro NS (Nameserver): Indica quais servidores sao autoritativos para o dominio. E o registro mais critico — se configurado errado, o dominio para de funcionar.
  • Registro SOA (Start of Authority): Contem informacoes administrativas sobre a zona DNS, como o email do administrador e o TTL padrao.

TTL — Time To Live

TTL e o tempo, em segundos, que um registro DNS deve permanecer armazenado em cache pelos resolvedores. Valores tipicos variam de 300 segundos (5 minutos) a 86400 segundos (24 horas).

Quanto menor o TTL, mais rapidas as alteracoes propagam — mas mais consultas sao feitas aos nameservers autoritativos, aumentando a carga. Quanto maior o TTL, menos consultas, mas alteracoes demoram mais para valer.

Dica pratica: Sempre configure o TTL para 5 minutos antes de fazer alteracoes no DNS. Assim a propagacao sera muito mais rapida. Depois que tudo estiver funcionando, aumente o TTL para 1 hora para reduzir a carga e acelerar a navegacao dos visitantes.

Propagacao DNS

Propagacao DNS e o tempo necessario para que uma alteracao nos registros DNS se espalhe por todos os servidores da internet. Quando voce muda o IP do seu site, por exemplo, nao e instantaneo — cada servidor recursivo precisa "aprender" o novo endereco depois que o cache antigo expirar.

Embora a documentacao tradicional fale em 24-48 horas, a realidade hoje e muito mais rapida. Com provedores modernos como Cloudflare e Hostinger, a propagacao tipicamente leva de 1 a 4 horas. Em alguns casos, com TTL baixo, pode ocorrer em minutos. A demora de 48 horas e uma estimativa conservadora que considera resolvedores mal configurados que ignoram TTLs.

Como configurar DNS na pratica

Vamos usar o exemplo de configuracao de DNS na Hostinger com Cloudflare, que e o setup que recomendamos na CloudBird:

  1. No painel da Hostinger, acesse "Dominios" e depois "Gerenciar DNS".
  2. Adicione um registro do tipo A apontando seu dominio para o IP do servidor de hospedagem.
  3. Adicione um registro CNAME para www apontando para seu dominio principal (sem www).
  4. Configure os registros MX para o servidor de email que voce utiliza.
  5. Se estiver usando Cloudflare, altere os nameservers no registro.br para os fornecidos pela Cloudflare.
  6. No Cloudflare, adicione o site e configure os mesmos registros A e CNAME.

A grande vantagem do Cloudflare e que ele atua como proxy reverso, escondendo o IP real do seu servidor e oferecendo protecao DDoS gratuita, CDN e SSL gerenciado automaticamente.

Problemas comuns com DNS

  • Nameservers errados: O erro mais comum. Se os NS apontam para um provedor diferente de onde os registros estao configurados, o dominio nao funciona. Sempre verifique no registro.br ou Whois se os NS estao corretos.
  • Registros faltando: Esquecer de criar o registro A para o dominio principal ou o CNAME para www. Sem esses, o site nao abre.
  • Propagacao incompleta: Mudancas recentes podem fazer com que alguns usuarios vejam o site antigo e outros o novo. Use sites como whatsmydns.net para verificar a propagacao global.
  • Cache local: O sistema operacional ou navegador do usuario pode estar com cache desatualizado. Comando ipconfig /flushdns (Windows) ou dscacheutil -flushcache (macOS) resolve.

Seguranca no DNS

O DNS foi projetado nos anos 80 sem preocupacoes com seguranca. Desde entao, diversas ameacas surgiram:

  • DNS Spoofing / Cache Poisoning: Atacante injeta registros DNS falsos no cache de um resolvedor, redirecionando usuarios para sites fraudulentos. A mitigacao principal e o DNSSEC.
  • DNSSEC (DNS Security Extensions): Adiciona uma camada de assinatura criptografica aos registros DNS, garantindo que a resposta recebida e autentica e nao foi modificada no caminho. A Hostinger e o registro.br oferecem suporte a DNSSEC.
  • DDoS em DNS: Ataques que visam derrubar os nameservers. Servicos como Cloudflare tem infraestrutura para absorver ataques de ate varios Tbps.

Na CloudBird, todos os dominios sao configurados com DNSSEC ativo e protegidos por Cloudflare, garantindo que o DNS dos nossos clientes seja rapido, confiavel e seguro.