Давай я в 3 раз повторю, если ты не понял. Шифрование днс-трафика является 1 из вариантов противодействия подмене сертификатов, эффективность его зависит от используемых методов. Просто посмотреть на соединение и узнать куда оно совершается уже нельзя, придётся использовать более дорогие методы. А ведь ещё надо перехватить и подменить трафик, делать это для всего трафика малореально. Его стоит использовать совместно с dnssec и верификацией легитимности сертификатов, тогда подмену просто не совершить -- соединение будет обламываться при попытке вмешаться в трафик. В случае с шифрованным днс трафиком в браузере, внезапно оказывается, что НИКТО кроме твоего провайдера DNS не имеет возможности знать, куда ты подключаешься -- это просто случайные цифры и они могут оказаться любыми (но есть и блокировки по цифрам, но цифры то каждый раз разные).

>от митма на уровне соединения с целевыми сервисом

Есть несколько видов мужика в середине. Как минимум локальный мужик и удалённый мужик. Для закрытых ресурсов по времени можно выяснить, что ответ идёт с того конца. Локальный мужик побыстрее отвечает всё же. Точно так же теперь выдают сообщения про доступ с этого айпи / из этой страны запрещён, этим занимаются разные помойки и им всё равно с какой целью щемить непричастных людей. Но это появилось не вчера, это было всегда. Шифрование днс помогает от ближнего мужика, при этом часть провайдеров днс сами будут выдавать тебе такие же заглушки (видимо иначе бы их запретили и им грозили проблемы). В случае с dnscrypt, надо было перебрать несколько десятков провайдеров, пока найдёшь того, которых работает и не подставляет тебе удалённого мужика (хотя тесты днс при этом проходили все).