Odpověď na názor

Možná si úplně nerozumíme.
Řekněme, že zabezpečení DNS komunikace si vyřešíte přes DoH nebo DoT - nikdo po cestě neuvidí, co si povídáte s DNS serverem, nemůže jednoduše udělat man-in-the-middle atp.
Jediné, co zachytí, je navázání komunikace s daným DNS serverem, ale ne obsah.

Potud fajn. Ale když pak vytvoříte HTTPS/QUIC spojení na webovou službu/stránku s adresou, co jste si právě přeložil, tak se typicky také použije SNI, které bez použití ECH zahlásí hostname toho serveru.

Tzn. sice máte zabezpečenou DNS komunikaci (má to i jiné benefity než soukromí), ale samotná spojení na cílové servery se stejně velmi jednoduše identifikují.
Můžete si to jednoduše sám ozkoušet třeba ve Wiresharku, když si zachytíte chvíli provozu a pak prohlédnete s filtrem "tls.handshake­.extensions_ser­ver_name"

A ano, samozřejmě je tam ještě další možnost, pokud máte takovýhle dump celé komunikace, nebo NetFlow s metadaty o spojeních (jako většina ISP), tak můžete zkoumat a zpětně přeložit cílové adresy všech spojení resp. identifikovat ASN, zjistit komu patří atp. Ale je to složitější, zvlášť u služeb někde v cloudech a sdílených prostředích. Je tam mnohem horší odstup signál-šum, než když to zjistíte z DNS dotazů okolo nebo to ty servery přímo pošlou v SNI.