Le trio DoH + TLS 1.3 + Encrypted SNI a pour effet de rendre impossible pour un intermédiaire entre le navigateur et l’hébergeur de pouvoir savoir quel contenu est regardé et donc de faire un blocage. Ce n’est pas un effet de bord, mais l’objectif principal d’eSNI.

- DoH (DNS over HTTPS) est plutôt mûre techniquement et est implémenté ou en cours d’implémentation chez tous les acteurs (Microsoft et Apple ont aussi fait des annonces).
La problématique qui bloque l’activation par défaut de DoH est la problématique du filtrage ou non avec tous les impacts que cela peut avoir dans une démocratie ou dans une dictature.

- TLS 1.3 : Avec TLS 1.2 ou inférieur, il est possible de voir le certificat TLS qui est en clair lors de la négociation TLS et donc de récupérer le nom de domaine utilisé. TLS 1.3 qui est le successeur de TLS 1.2, est mûre techniquement et est implémenté ou en cours d’implémentation chez tous les acteurs de l'Internet au fure et à mesure que les plateforme d'hébergements web sont mis à jour.

- eSNI (Encrypted SNI) lui ne peut pas être considéré comme une technologie éprouvée. Il est encore classé comme «Intended status: Experimental »
Le premier navigateur a le supporter est Firefox depuis quelques semaines. L’activation se fait via des options cachées. Il y a peu de contenus eSNI disponibles (uniquement CLoudFlare ?). TLS 1.3 (qui cache les info du certificat) est un prérequis officiel pour eSNI, le titre complet à l’IETF est « Encrypted Server Name Indication for TLS 1.3 ».  DoH est un prérequis chez Mozilla pour Encrypted SNI.

Tant que ca devient pas obligatoire, et qu'on peut toujours résoudre des noms classiquement, comme on le fait depuis 30 ans, c-a-d via le port 53 en UDP et TCP, moi, ca me va ^^

Ce serait cool de pas mettre des batons dans les roues à ceux qui utilisent leurs propres résolveurs (comme moi du coup) et qui n'en ont rien à carrer de Doh du coup.