В выгрузках заблокированных ресурсов от РКН есть дикие карты (*.huita.com)
Насколько я понимаю, единственный способ заставить такую блокировку работать — на уровне DNS, отвечая на все запросы IP со страницей-заглушкой.
По какой-то причине доступные мне интернет-провайдеры так не делают. Почему?
Если не на уровне DNS’а реализовывать блокировку, то я не придумаю, как еще можно. Как только пользователь узнал IP — он делает CONNECT по HTTPS и спокойно работает. Получить список всех возможных поддоменов нельзя — DNS-сервер владельца домена huita.com может их налету придумывать.