Не ниже 1.6.
На момент написания скрипта эта версия работала с idna.
Старые браузеры не подставляют в клиентский сертификат имя хоста, поэтому идентифицировать ssl соединение по имени невозможно.
Пишу с другого акка, ибо nag'у нужна карма для Hirurg2000.
Вижу вот какой вариант.
Строить скриптом, который добавляет в quagga'у ip адреса и формирует файлики для nfqfilter, файл для bind'a, с именами ssl хостов, указывающих на сайт заглушку.
Файлик на dns сервер тащить rsync'om
Будет работать?!
Все ssl хосты будут смотреть на заглушку! (правда и по http протоколу эти же хосты будут смотреть на сайт-заглушку)
Какие тут могут быть подводные камни? понятно что заглушку по https'у мы не увидим, но сайт будет заблокирован.
[upd] Из очевидных камней видится: не будет записи mx в этих dns обманках, но кто мешает их тем же скриптом засунуть туда...(в момент резолва ip например, спрашивать ещё и mx запись)[upd]