Ci sono diversi argomenti non correlati qui, ma:
Sì, l'IP non è mai al sicuro dagli aggressori. Nemmeno il nome di dominio è il tuo scenario.
In primo luogo, il servizio Cloudflare DNS potrebbe supportare alcuni trasferimenti crittografati, ma ciò non accadrà se il client non lo usa. Effettuare una normale richiesta DNS obsoleta non è ancora criptata, quindi uno sniffing può vedere quali domini stai visitando.
Quindi, anche se fosse crittografato, l'intero punto del DNS è trasformare un nome di dominio in un indirizzo IP numerico. Questo IP viene quindi utilizzato per richiedere il contenuto del sito Web stesso. Qualunque cosa si trovi lì (il tuo ISP, altri nodi internet commerciali, l'hoster dei siti web, ecc.) Può vedere l'IP di destinazione (e anche il tuo).
E il contenuto della richiesta conterrà nuovamente il dominio, perché potrebbero esserci diversi domini su un unico IP. Questo vale sia per HTTP che per HTTPS, ed entrambe le volte non è crittografato. Ci sono alcuni piani per HTTPS per rendere possibile la crittografia di questa parte, ma in questo momento è testo in chiaro.