Précisions, je ne suis pas un grand fan d'Encrypted SNI : Je pense que son adoption pourrait retarder l'extinction de l'IP4 sur Internet.

Dans les scénarios possible pour achever la transition d'IPv4 vers IPv6 (« scénarios de sortie »), le DNS46/NAT46 permet de laisser des clients entreprises en mode IPv4 only (Certaines entreprises sont bloquées pour la migration par des équipements incompatible IPv6 qu'il n'est pas simple de changer) tout en ayant un accès complet à IPv6 (c'est à moyen terme, quand les sites web n'auront que des IPv6 et plus d'IPv4).

Dans ce scénario, la plateforme NAT46 qui permet de faire le lien entre l'IPv4 de l'entreprise et l'Internet IPv6 serait chez l'opérateur. Contrairement au NAT64 utilisé sur les téléphones mobiles, où un mobile IPv6 only accède à l'Internet IPv4 pas un DNS64 qui va encoder l'IPv4 dans une IPv6, sur la NAT46, il est impossible de mettre une IPv6 dans une partie de l'IPv4 et donc la seule solution pour retrouver la cible, c'est le SNI.

Encrypted SNI si il est massivement déployé ce qui n'est pas le cas aujourd'hui, tuerait la possibilité de finir les derniers % de transition IPv6 via du NAT46/DNS46.


Exemple de « scénario de sortie » avec Encrypted SNI et donc sans DNS46/NAT46 :

• 2025 : La quasi-totalité des offres d'accès internet grand public commercialisées proposent de l'IPv6 activé par défaut et de l'IPv4 via une IPv4 dédiée ou partagée.

• 2030 : La quasi-totalité des offres d'accès internet grand public, pro et entreprise proposent de l'IPv6 activé par défaut. Une connectivité IPv4 est toujours proposée.

• 2035 : Malgré des poches de résistances à l’IPv6 pour l’accès proposés par quelques entreprises à ses salariés, une part non négligeable des sites web sont hébergés en IPv6 uniquement. Ces sites ne sont plus accessibles depuis une entreprise qui bloque l'IPv6.

• 2040 : Une part non négligeable des offres des fournisseur d'accès à Internet ne proposent plus de connectivité IPv4. Il n'est plus possible de consulter des sites web hébergés en IPv4 uniquement.

Pour les grandes entreprises qui ont un proxy, la solution passe bien sur la mise à jour du proxy pour qu'il accède à l'Internet en IPv6 et que tous les salariés de l'entreprise, probablement en IPv4 privée uniquement derrière ce proxy, aient accès à l'Internet IPv6.

Maintenant toutes les entreprises n'ont pas de proxy. Dans certaines petites entreprises certaines sont en direct derrière la box de leur opérateur et ces cas là vont facilement migrer vers IPv6.

D'autres entreprises sans proxy ont du matériel spécifique qui n'est pas compatible IPv6 et qu'il peut être très couteux de faire évoluer, car il n'y a aucune compétence en interne et aucun contrat avec une société pour ce matériel. Pour eux le DNS46/NAT46 pourrait être une solution que les flux web IPv6 passent. La plupart des autres protocoles autres que le web ne passeront pas, mais dans le cas où le web http / https est l'unique besoin de connectivité avec Internet, le DNS46/NAT46 pourrait jouer son rôle.

Pour donner un exemple des vieilleries qu'on trouver, le système Decor (diffusion des données d’environnement contrôle d’Orly et de Roissy), relié à Météo France fonctionne sous Windows 3.1. cf Une panne informatique à l’aéroport d’Orly liée à... Windows 3.1.
Il arrive que les ordinateurs connectés directement à ces systèmes anciens aient besoin d'accéder à Internet pour le web (http / https) mais doivent passer par des équipements spécifiques non compatible IPv6. Le DNS46/NAT46 en amont permettrait cet accès.

L'objectif reste de trouver des solutions pour les dernières pourcentage de migration vers IPv6, ces derniers % seront complexes et longs et donc j'aimerais bien trouver des solutions. Penser que IPv6 va croitre de +8% par an (rythme observé  depuis 4 ans), c'est bon pour les premières années, mais pas quand on sera vers la fin du process.

Firefox supporte le ESNI, pour ça il faut :
 - activer le DNS sur HTTPS (DoH) : dans les options, ou network.trr.mode=2 dans about:config (par exemple sur Android)
 - activer network.security.esni.enabled dans about:config ...

Suite au tutoriel de Vivien (Mozilla active DNS over HTTPS par défaut dans Firefox), merci pour le tuyau. 

Edit: Merci également à Vivien. 

Des infos intéressantes dans le mail de la ML cité par ZDNet : https://mailarchive.ietf.org/arch/msg/tls/Dae-cukKMqfzmTT4Ksh1Bzlx7ws/

J'ai lu l'article mais pourtant j'arrive bien à faire du TLS 1.3 avec le ESNI en Chine.

C'est le but d'ESNI.

Il n'y a pas que RSF qui dérange, https://www.amnesty.org/ était aussi bloqué dans certains pays.

Firefox 85 supprime le support de l'ESNI, qui est remplacé par ECH.
Il faut activer :
 - le DoH, comme pour ESNI
 - network.dns.echconfig.enabled
 - (probablement) network.dns.upgrade_with_https_rr

Malheureusement Cloudflare ne semble pas l'avoir encore déployé.
about:networking#dnslookuptool pour www.cloudflare.com donne :
1 www.cloudflare.com (alpn="h3-29,h3-28,h3-27,h2" ipv4hint="104.16.123.96, 104.16.124.96" ipv6hint="2606:4700::6810:7b60, 2606:4700::6810:7c60" )Il manque "echconfig" à priori.

https://blog.cloudflare.com/encrypted-client-hello/ (https://blog.cloudflare.com/fr/encrypted-client-hello-fr/ en français).
ECH remplace ESNI, en chiffrant une plus grande partie du Client Hello (d'où son nom), y compris ALPN (https://www.iana.org/assignments/tls-extensiontype-values/tls-extensiontype-values.xhtml#alpn-protocol-ids : si un serveur supporte, on pourra faire passer autre chose que de l'HTTP, comme de l'IMAP ou du DoT, sur le port 443 sans qu'un observateur puisse savoir de tel type de trafic il s'agit).

Il est censé aussi résoudre les problèmes de rotation des clés (qui avaient parfois généré des erreurs avec ESNI sur les serveurs Cloudflare), et permet d'avoir des clés (toujours récupérées via DNS, mais via le "HTTPS record" maintenant) différentes pour chaque IP, par exemple si un même nom de domaine a des serveurs chez plusieurs fournisseurs différents.