Oui, mais pour aller plus loin, faut peut-etre penser a un VPN over HTTPS. Pas la peine de bordeliser l'ecosysteme.
D'ailleurs, bloquer HTTPS vers 1.1.1.1 et 1.0.0.1, ca ne coute rien non plus.
Firefox utilise mozilla.cloudflare-dns.com (104.16.248.249, 104.16.249.249), donc ça ferait deux IP à bloquer en plus (voire bloquer la résolution DNS initiale de cloudflare-dns.com, parce que ces IP ne sont pas forcèment fixes).
Le "VPN over HTTPS", dans le contexte du navigateur, c'est un peu ce que Mozilla propose avec Firefox Private Network (avec Cloudflare encore).
Il y a un cas de DoH, certes pas supporté par Firefox, qui n'est pas blocable : Google, car le domain fronting fonctionne !
$ curl -H 'Host: dns.google.com' 'https://www.google.com/resolve?name=example.com&type=A'
{"Status": 0,"TC": false,"RD": true,"RA": true,"AD": true,"CD": false,"Question":[ {"name": "example.com.","type": 1}],"Answer":[ {"name": "example.com.","type": 1,"TTL": 3684,"data": "93.184.216.34"}]}
Si tout est fermé vers Internet comme c'est le cas chez bon nombre de grosses entreprises, et que les accès passent par un proxy, quid de DoH ?
Ca passe comme du HTTPS, à part si le proxy bloque certains noms de domaine.
CONNECT mozilla.cloudflare-dns.com:443 HTTP/1.1