Российские провайдеры придумали, как переложить на Google часть затрат по «пакету Яровой»

Полагаю можно ограничиться метаинформацией.

Обнаружение известного вредоносного кода в зашифрованном с помощью TLS трафике (без дешифровки)

Есть такие правила, для SURICATA например. Обнаруживают TOR, по корреляциям в длинах фрагментов TLS. lists.emergingthreats.net/pipermail/emerging-sigs/2017-October/028439.html