but all the ones I found describe the creation of a certificate pair to decrypt/re-encrypt the traffic - something I do not want to do.
O que você está pedindo simplesmente não é possível devido ao funcionamento do protocolo https. Suas opções são:
- Permitir https de saída através do seu firewall e não tente usar nenhum proxy
- Configure clientes para usar seu proxy / filtro e eles usarão chamadas HTTP CONNECT para o proxy.
- Configure seu proxy para ser um homem no meio e execute sslbump.
I would just eventually block when some time rules are met
Você pode com os módulos iptables corretos filtrar com base na hora do dia. Talvez você deva lidar apenas com a filtragem de hora do dia no seu firewall?