Подскажите, что видит провайдер проводного интернета, если в браузере включен DOH (8.8.8.8) ?
Если абонент смотрит youtube.com/zapreshenka, то провайдер может определить,
какой именно ролик / канал смотрит абонент ?
Провайдер не будет видеть ваших dns запросов. Но при установке https соединения увидит домен youtube.com и ip адрес сервера к которому вы подключаетесь. Все остальное зашифровано
Даже без DoH он этого не узнает.
DNS over HTTPS скрывает содержимое DNS пакетов от провайдера. Провайдер увидит просто факт установки HTTPS соединения с DNS провайдером (cloudflare например или что другое) но не какой сайт вы запрашиваете в DNS.
Через обычный DNS - ТСПУ видят DNS пакеты и их содержимое (тут данные UDP пакетов оно не шифровано, в отличие от DOH).
Если открыть youtube.com/zapreshenka хоть с DOH хоть без DOH провайдер увидит факт, что вы открываете youtube и googlevideo (через метаданные Host в заколовке HTTPS пакета при открытии ютуба). Но он НЕ увидит какое именно видео или ютуб канал вы смотрите для этого нужно внедрить буквально трояна в систему реализующего MITM.
Надежнее всего VPN. Скроет от провайдера даже тот факт что вы открываете ютуб.
Если DOH настроен правильно в системе то
тут https://dnsleaktest.com и тут https://dnscheck.tools
должны быть видно только хосты DOH провайдера и никакие другие.
Провайдер всегда видит sni? Или в случаях если сайт использует ech то просто вместо sni шифр?
Верно, с ECH домен не видно.
DoH/DoT/DoQ в целом не защищает от сбора данных провайдерами, это придумано для невозможности подмены DNS-запросов (DNS poisoning). Например, отдать вам вместо facebook.com свою страницу с заглушкой “Этот ресурс заблокирован по…”.
Или злоумышленнику со своим бесплатным публичным Wi-Fi подменить страницу google.com на поддельную и угнать эккаунт.
Ну или ValdikSS с его Антизапретом обратно подменить заглушку на настоящий facebook.com
Если коротко, надо включать везде, где можно, если нет веской причины этого не делать
Если кратко: с doh и без doh провайдер обычно видит только домены и поддомены (но не полный URL) и сами IP серверов, конечно. Узнать какие видео смотрел невозможно.
Если сайт использует https без ech, то даже с doh утекает sni.
Кстати, некоторые браузеры сливают посещённые домены (а может и URL) производителям, обычно в Китай. Яндекс браузер, к примеру, сливает посещённые видео, если настройки не менять. Ну, а поделиться производитель может хоть с кем.
чтобы они увидели какой именно ролик ты смотриш на ютубе, для этого нужно установить сертефикат мемцифры себе на усройство, ну или пользоваться яндекс маузером 
а так да они видят то что пашёл ты на ютуб вот и всё и то сейчас ж так прост на его не зайдёш а ети все запреты гудбаи подменяют сни на фонтс.гугл.ком например так что не ссы 
дох беспонтовая тема без ецх так как сни всё равно палится
Подменяют только для DPI. Провайдер всё ещё видит на каком сайте сидит клиент
Такого не может быть. Потому что получается, что провайдер лучше блокировать должен, чем dpi. А это бред сивой кобылы.
Он и так лучше блокирует. Сразу весь AS или CIDR
Это уже маргинальщина получается. Тогда топором по проводу - это уровень божества