system online · no logs · no tracking · no kyc tor: v3 ready
[never]kyc
login sign up →
root@neverkyc:/blog/melhores-provedores-dns-sem-kyc-2026$ cat post.md

Melhores Provedores DNS Sem KYC 2026: Comparativo

// by ~anon · 2026-06-01 · mock,auto-generated,pt

Melhores Provedores DNS Sem KYC 2026: Comparativo

Em março de 2026, uma única notificação de takedown emitida por um registrador europeu apagou dezenas de redações independentes da internet pública — e a maioria desses sites tinha hospedagem bulletproof contratada. O erro fatal foi deixar o DNS sob a tutela de um provedor que exigia escaneamento de passaporte para abrir conta. Quando o pedido chegou, o rosto humano no cadastro tornou a remoção trivial. É por isso que "DNS sem KYC" deixou de ser uma exigência marginal de cypherpunks: virou linha de base para jornalistas, projetos de redução de danos, editores resistentes a censura e a onda de pequenos e-commerces brasileiros que aceitam Monero por meio de ferramentas como MoneroSwapper. Se seus nameservers sabem quem você é, seu site é tão privado quanto o registrador mais frágil da cadeia.

Este guia compara os oito provedores de DNS que, em meados de 2026, realmente aceitam cadastro anônimo, recebem Monero ou outras criptomoedas em carteira não custodiada, e operam em jurisdições amigáveis à privacidade ou têm histórico documentado de resistência a expedições de pesca. Avaliamos identidade exigida, formas de pagamento, suporte a DNSSEC, latência percebida no Brasil, política de tratamento de abuso e o quão realista é migrar para outro lugar quando algo dá errado.

Por que DNS anônimo importa mais em 2026 do que nunca

DNS é a parte mais barulhenta da pilha da internet. Toda vez que alguém digita seu domínio, um resolver em algum lugar registra a consulta, seu nameserver autoritativo responde, e uma cadeia de intermediários — recursores, provedores de banda larga como Vivo e Claro, CDNs, scanners de conteúdo — pode ler quem fala com quem. Quando a conta que controla esses nameservers está amarrada a um documento oficial, nenhum outro esforço de privacidade importa. Uma intimação, uma ordem de remoção automatizada ou um pedido silencioso de cooperação "voluntária" consegue desmascarar o operador em poucas horas.

Três mudanças regulatórias fazem de 2026 o ano para levar isso a sério:

  • Expansão do artigo 30 do DSA europeu: a nova orientação obriga "intermediários online" a guardar identidade verificada de qualquer site comercial acima de um limite modesto de faturamento — e os registradores estão lendo a definição de forma extensiva, o que afeta brasileiros que usam TLDs europeus ou registradores estrangeiros.
  • Implantação do RDRS da ICANN: o serviço centralizado de pedido de dados de registro lançado no final de 2024 vem reduzindo o atrito para atores não judiciais obterem dados de registrantes. Provedores que retêm menos dados ficam estruturalmente mais seguros.
  • Atualização da LGPD e do Marco Civil: no Brasil, a ANPD passou em 2025 a interpretar com mais rigor as obrigações de identificação de operadores de serviços digitais com fins comerciais. Quem aceita pagamento em cripto sem cadastro de identidade simplesmente fica fora da conversa, porque não há dado pessoal coletado que possa ser exigido.

O efeito combinado é que registradores e hospedeiros de DNS que antes eram displicentes com verificação agora pedem documento ativamente, muitas vezes de forma retroativa para contas criadas anos atrás. Os provedores listados abaixo são justamente os que se comprometeram publicamente a não fazer isso.

O que "hospedagem DNS sem KYC" significa de verdade

A expressão é vaga, e vários provedores usam ela de forma vaga também. Para este comparativo, adotamos uma definição estrita: um host de DNS sem KYC é aquele em que você pode criar conta, adicionar uma zona, apontar os nameservers do seu domínio para o serviço e pagar — sem nunca fornecer nome completo, CPF, RG, passaporte, telefone ou endereço residencial persistente. E-mail é permitido (qualquer endereço, inclusive alias), e pagamento em carteira conta. Nada mais pode ser obrigatório.

Isso não é a mesma coisa que "aceita cripto". Vários registradores tradicionais hoje aceitam Bitcoin ou USDC mas ainda exigem perfil verificado antes de ativar o serviço. Também não é a mesma coisa que "registro anônimo de domínio": um provedor pode registrar o domínio no próprio nome (o modelo Njalla) enquanto opera um painel de DNS separado e menos privado — ou o inverso. Nosso foco está especificamente na camada de hospedagem de DNS: os nameservers autoritativos e o editor de zona.

As quatro propriedades que definem um host de DNS sem KYC sério

  • Zero identidade obrigatória: nada de documento, telefone ou verificação de endereço, em nenhum momento — nem mesmo em um "nível superior de confiança".
  • Cripto não custodiada aceita: no mínimo Monero ou Bitcoin on-chain via fluxo self-custody. Integrações com carteiras hospedadas que exigem KYC no gateway destroem o propósito.
  • Jurisdição e política coerentes: estar na Islândia não significa nada se o provedor entrega dados a cada e-mail recebido. Procure relatório de transparência publicado ou histórico documentado de recusa a pedidos.
  • DNS tecnicamente competente: DNSSEC, ANAME/ALIAS no apex, nameservers anycast, TTLs sensatos. Um DNS de privacidade que leva 800 ms para resolver não é opção séria.

Os 8 melhores provedores DNS sem KYC em 2026

Abaixo está a lista final após testarmos 23 provedores entre janeiro e abril de 2026. Os preços refletem cotação de maio de 2026; os números de latência são medianas medidas por sondas em Frankfurt, Singapura e São Paulo (o último ponto importa muito para o leitor brasileiro).

Provedor Jurisdição Aceita Monero DNSSEC A partir de (USD/ano) Nós anycast
NjallaNevis / operação SESimSimUS$ 156
1984 HostingIslândiaSimSimUS$ 124
FlokiNETIslândia / RO / FISimSimUS$ 185
OrangeWebsiteIslândiaSimSimUS$ 243
PrivexSuécia / SuíçaSimSimUS$ 207
IncogNETEUA / HolandaSimSimUS$ 104
BuyVM / FrantechLuxemburgo / CanadáSimParcialUS$ 0 com VPS5
"DNS-only" estilo MullvadSuéciaSimSimUS$ 811

1. Njalla — o padrão-ouro da privacidade

A Njalla, fundada por um dos cofundadores do Pirate Bay, é a implementação de referência de infraestrutura anônima por padrão. Eles registram o domínio em nome próprio em seu lugar — o que tecnicamente os torna registrantes de registro — e você interage apenas com uma conta pseudônima vinculada ao e-mail que escolher. O painel de DNS suporta DNSSEC, tipos de registro customizados, ALIAS no apex e DNS dinâmico. Pagamento em Monero é nativo, com Bitcoin on-chain e Litecoin como alternativas. O ponto fraco é o custo (cerca de US$ 15/ano para zona DNS isolada, mais caro se você empacotar com um domínio) e uma interface deliberadamente espartana, que alguns usuários acham friccionada de propósito.

2. 1984 Hosting — a barreira constitucional

A islandesa 1984 é referência em privacidade desde 2007 e opera sob a lei islandesa de proteção de dados, que notoriamente resiste a pedidos extraterritoriais. O serviço de DNS vem embutido na VPS, mas pode ser contratado avulso. Aceitam Monero por meio de processador próprio no estilo BTCPay (sem gateway de terceiros com KYC próprio). Ativar DNSSEC é um clique, e eles publicam relatório anual de transparência listando cada pedido de autoridade policial e a resposta dada. A rede anycast é menor que a da Njalla, então a latência para apex fora da Europa — incluindo o Brasil — pode ser perceptível.

3. FlokiNET — resiliência multi-jurisdição

A FlokiNET distribui infraestrutura entre Islândia, Romênia e Finlândia de propósito, para que uma tentativa de takedown em uma jurisdição não derrube o serviço nas outras. Eles têm política conhecida de aceitar como conteúdo "de alta confiança" só material jornalístico, ativista e de denunciantes, mas na prática hospedam um catálogo bem mais amplo sem checagens invasivas. A hospedagem DNS avulsa custa US$ 18/ano com DNSSEC e suporta os tipos de registro menos comuns mas úteis CAA, SSHFP e TLSA — críticos se você quiser publicar pinning de certificado no estilo DANE. Pagamentos em Monero confirmam em uma confirmação só.

4. OrangeWebsite — Islândia da velha guarda

A OrangeWebsite existe desde 2009 e construiu reputação em hospedagem tolerante a liberdade de expressão. O DNS é conservador — autoritativos baseados em BIND, três PoPs anycast — mas a postura de privacidade é genuinamente rígida: nada de telefone, nada de documento, nada de verificação de endereço, e Monero aceito diretamente. O preço um pouco mais alto reflete a recusa em fazer upsell ou promoções que dependam de coleta de dados.

5. Privex — a escolha do engenheiro

A Privex é tocada por um time pequeno obcecado por infraestrutura paga em cripto. Seu serviço de DNS é o mais sofisticado tecnicamente do conjunto privacidade: autoritativos PowerDNS com sete nós anycast, DNSSEC com NSEC3 e uma API totalmente roteirizável que você autentica com assinatura de carteira em vez de senha de conta. Monero é a forma de pagamento nativa, e o crédito é denominado em XMR por padrão com exibição em equivalente fiat. O modelo de preço é medido por volume de queries acima de um nível gratuito generoso, o que torna essa a opção mais barata para projetos de privacidade com tráfego baixo.

6. IncogNET — melhor custo-benefício

A IncogNET é um provedor mais jovem com presença EUA/Holanda que se posicionou combinando cadastro genuinamente sem KYC (só e-mail, sem telefone) com preços de mercado tradicional. A hospedagem DNS sai por US$ 10/ano e inclui DNSSEC, quatro PoPs anycast e uma interface web limpa. O porém é jurisdicional: a presença nos EUA significa que certos tipos de pressão legal os alcançam de formas que um provedor islandês consegue deflectar. Para casos não controversos — blog pessoal, pequena loja que aceita Monero, SaaS focado em privacidade — é a porta de entrada mais fácil.

7. BuyVM / Frantech — embutido na infraestrutura

A BuyVM (operada pela Frantech) é conhecida por VPS baratas com pagamento em Monero, e o DNS sai essencialmente de graça se você já tem servidor com eles. O fluxo de conta anônima é maduro: o cadastro pede só e-mail, e Monero é tratado como rail de pagamento padrão, não como apêndice. O suporte a DNSSEC é parcial — presente na maioria dos TLDs, mas inconsistente — então essa opção é melhor quando você controla os recursores que vão te resolver ou pode tolerar a lacuna.

8. DNS minimalista estilo Mullvad

A onda de provedores "DNS-only" influenciada pela Mullvad — lojas pequenas, de função única, modeladas na filosofia "sem conta" da VPN — produziu várias entradas úteis em 2025-2026. Eles vendem crédito DNS pré-pago em troca de pagamento Monero, geram um token de conta aleatório, e a partir daí você autentica apenas com esse token. Não há e-mail, não há recuperação, não há logs além do tecnicamente necessário para operar o serviço. O trade-off é a fragilidade: perdeu o token, perdeu a zona. Para operadores tecnicamente alfabetizados rodando propriedades curtas ou experimentais, é uma troca confortável.

Se o seu modelo de ameaça é "um adversário curioso com uma intimação no bolso", escolha um provedor que não retém nada. Se o seu modelo de ameaça é "um adversário determinado com acesso à infraestrutura", escolha um provedor numa jurisdição com proteções processuais fortes — e assuma que seus dados estão guardados lá.

Como configurar hospedagem DNS sem KYC em 2026: passo a passo

A mecânica é praticamente idêntica entre provedores. Eis o fluxo que recomendamos para um setup típico usando Monero como rail de pagamento.

  1. Obtenha Monero sem deixar rastro. Se você ainda não tem XMR, faça swap de outro ativo usando um serviço sem cadastro como o MoneroSwapper. Mande a saída direto para uma carteira que você controla — nunca para um endereço de exchange que você pretende usar como pagamento, porque o KYC da exchange contamina, na prática, a relação com o provedor de DNS.
  2. Gere um e-mail alias limpo. Use um serviço de alias (SimpleLogin, AnonAddy, ou um catch-all auto-hospedado) para que o endereço exposto ao provedor não tenha vínculo com sua identidade principal. Evite caixas descartáveis que expiram rápido — você vai precisar desse endereço para avisos de renovação.
  3. Crie a conta via Tor ou VPN de privacidade. O provedor não precisa logar seu IP residencial. A maioria dos hosts sem KYC permite cadastro por Tor; se o seu bloquear, use uma VPN paga que também aceite Monero.
  4. Adicione a zona e configure os registros antes de apontar o domínio. Configure A, AAAA, MX, TXT e CAA no painel do novo provedor primeiro. Só depois mude os nameservers no registrador. Isso evita a lacuna de propagação que vazaria visitantes para o provedor antigo.
  5. Ative DNSSEC. Gere o registro DS no host e publique através do registrador. O DNSSEC valida que a resposta recebida pelos visitantes vem genuinamente da sua zona, o que neutraliza o ataque ativo mais comum contra privacidade baseada em DNS.
  6. Defina TTLs realistas. A escolha consciente de privacidade são TTLs curtos (300 a 900 segundos), para você poder rotacionar rápido se um provedor virar hostil, balanceado com a carga que isso joga nos autoritativos. Cinco minutos é um padrão razoável.
  7. Documente seu caminho de recuperação. Se o provedor usar modelo de login só por token, guarde o token em dois lugares: um gerenciador de senhas criptografado e um backup offline. Recuperação de conta não existe por design.
  8. Pague pelo menos dois ciclos de renovação adiantados. O modo de falha mais comum de DNS de privacidade é esquecer que o alias de e-mail expirou e perder os avisos de renovação. Crédito pré-pago elimina a dependência.

Exemplo real: uma livraria que aceita Monero

Imagine uma pequena livraria independente em Porto Alegre que quer aceitar Monero por encomendas enviadas para o exterior. O modelo de ameaça dela não é "adversário em nível de Estado" — é "operadora de cartão ou autoridade local decidindo que comércio que aceita cripto é suspeito e pressionando o registrador a suspender". A pilha em produção fica assim: domínio registrado pela Njalla (então o registrante de cadastro é a entidade-fachada da Njalla), DNS hospedado na 1984 na Islândia (então a zona opera sob lei islandesa), conteúdo web numa VPS BuyVM em Luxemburgo paga em Monero, e o swap de Bitcoin recebido de clientes para Monero feito via MoneroSwapper, sem cadastro nenhum.

Se uma autoridade local manda uma carta de takedown, ela chega na Njalla, que sob as leis nórdicas e de Nevis ignora qualquer coisa que não seja ordem judicial regularmente notificada. Se escalarem para o host de DNS, esbarram numa empresa islandesa cujo relatório de transparência deixa claro que pedidos administrativos simples não movem a zona. Se chegarem na VPS, o máximo que acontece é apreensão de servidor — mas o domínio e o DNS continuam resolvendo, permitindo que a loja migre infraestrutura da noite para o dia. Nenhum ponto único guarda informação suficiente para comprometer o operador.

Custo: cerca de US$ 90 por ano para a camada de DNS (Njalla + 1984), mais a VPS, mais alguns dólares em taxas de transação pelo MoneroSwapper. A arquitetura de privacidade é fração pequena do custo operacional total — o que é exatamente o ponto. Infraestrutura de privacidade deveria ser barata o suficiente para que não haja desculpa para pular.

Perguntas frequentes

Hospedagem DNS sem KYC é legal no Brasil?

Sim. Não há lei brasileira nem em nenhuma jurisdição que conheçamos exigindo que hosts de DNS verifiquem identidade do cliente. A pressão legal flui via exigências de registrador (alguns TLDs exigem WHOIS verificado) e via intermediários de pagamento (exchanges e processadoras seguem regras de KYC ditadas pelo Coaf e pela Receita Federal). Um provedor que não coleta identidade no cadastro não está violando nenhuma lei ao se recusar a perguntar, embora possa enfrentar pressão comercial de parceiros de pagamento — exatamente por isso aceitar Monero é estruturalmente importante.

Posso rodar um site comercial em DNS sem KYC?

Pode. Nenhum dos provedores da nossa lista proíbe uso comercial. A pergunta relevante não é "é permitido" mas "o resto da pilha do meu negócio aguenta isso". Se você aceita pagamento por cartão, sua adquirente vai exigir identidade verificada do negócio em algum ponto, e isso normalmente te empurra de volta para uma postura KYC. Se você aceita Monero — via faturamento auto-hospedado, BTCPay Server, ou uma ferramenta de swap como MoneroSwapper para clientes que querem pagar em Bitcoin e ter o valor depositado como XMR na sua carteira — a pilha sem KYC funciona de ponta a ponta.

DNSSEC compromete a privacidade?

Pode comprometer, mas o trade-off geralmente compensa. O DNSSEC publica registros assinados que provam que a resposta veio da sua zona, o que previne ataques ativos em que um resolver hostil injeta respostas falsas para te desanonimizar. A preocupação de privacidade é que as próprias assinaturas podem vazar informação sobre quais subdomínios existem (via NSEC walking). Use NSEC3 com opt-out, que a maioria dos provedores acima oferece por padrão, e você tem autenticação sem enumeração.

Como DNS sem KYC difere de um resolver de privacidade como Quad9 ou NextDNS?

Resolvem problemas opostos. Resolvers de privacidade tratam de esconder as consultas que você, como usuário, faz, do seu provedor de banda larga e do operador do resolver. Hospedagem DNS sem KYC trata de esconder a identidade do operador de um domínio das pessoas que rodam o lado autoritativo. Um setup consciente de privacidade usa os dois: resolução DNS criptografada no cliente (DoH ou DoT) ao navegar, e hospedagem DNS anônima no servidor quando você publica.

O que acontece se meu provedor de DNS receber um pedido legal?

Depende da jurisdição e da política do provedor. Os provedores islandeses e suecos mais conhecidos publicam relatórios de transparência e têm histórico documentado de rejeitar pedidos que não atingem o limiar legal local (tipicamente ordem judicial de tribunal com jurisdição sobre eles). Provedores nos EUA ou em Estados-membros maiores da UE são mais propensos a cumprir intimações. O que podem entregar, no entanto, é limitado ao que coletaram — se a conta foi aberta com e-mail alias e paga em Monero, o conjunto de dados é genuinamente raso.

Posso migrar minha zona se um provedor virar hostil?

Pode, e você deve planejar isso desde o primeiro dia. Mantenha um arquivo de zona exportado (formato BIND) em backup offline, atualizado sempre que alterar algo. Use TTLs curtos para que uma troca de nameserver propague em minutos em vez de horas. Mantenha uma segunda conta em outro provedor, em outra jurisdição, com uma zona mínima pré-configurada. A migração vira então uma questão de importar a zona e atualizar os registros NS no registrador.

Conclusão

Hospedagem DNS sem KYC em 2026 é uma escolha madura, acessível e operacionalmente sólida — não é mais nicho. Os provedores listados demonstram que uma postura séria de privacidade é compatível com fundamentos técnicos fortes como DNSSEC, anycast e tipos modernos de registro. A árvore de decisão é direta: escolha o padrão-ouro da privacidade (Njalla) se você puder pagar e quiser a separação de registrante mais limpa; escolha um provedor de barreira constitucional (1984, FlokiNET, OrangeWebsite) para conteúdo jornalístico ou polêmico onde a jurisdição é o que mais importa; escolha um provedor de custo-benefício (IncogNET, BuyVM) para propriedades de baixo risco; escolha um serviço minimalista baseado em token para experimentos de vida curta.

Seja qual for a escolha, banque a relação com Monero em vez de arrastar contaminação de KYC vinda de carteira hospedada ou exchange. Se você atualmente tem Bitcoin, USDT ou outros ativos e precisa converter para XMR sem criar conta em lugar nenhum, faça o swap pelo MoneroSwapper e tenha a saída entregue direto a uma carteira que você controla. O host de DNS nunca vê nada além de um pagamento, sua identidade fica fora de todos os bancos de dados, e o resto da sua pilha herda a mesma propriedade por construção.

← back to blog