Nem vagyok benne biztos, hogy DOH+ESNI mellett működni fognak az ssl proxy-k: A publikus kulcs a dns rekordban van, a kliens egyből arra titkosítja a kapcsolatot, így a köztes szereplőknek nincs lehetősége belenyúlni ebbe. (így akár a root cert-ek is feleslegesek?)
Persze ha van hozzáférésed a kliens géphez, akkor tiltható az DOH/ESNI használata (még)