Firefox supporte le ESNI, pour ça il faut :
- activer le DNS sur HTTPS (DoH) : dans les options, ou network.trr.mode=2 dans about:config (par exemple sur Android)
- activer network.security.esni.enabled dans about:config
Je ne sais pas pourquoi ils ont lié les deux fonctionnalités. Certes avec le DNS en clair celui qui observe le réseau a beaucoup d'informations, mais pas autant que le SNI.
En plus, on peut très bien avoir un relai DNS sur la machine (type dnsmasq ou autre), qui pourrait être configuré pour faire du DoH/DoT vers l'extérieur tout en résolvant les adresses internes (en entreprise par exemple) avec le DNS par défaut du réseau.