Infelizmente, isso não é possível sem bater (descriptografar) a conexão SSL primeiro. Os navegadores por design negam qualquer carga / redirecionamento adicional de solicitações CONNECT com falha. Para uma descrição mais formal, consulte o link .
Se você fizer decidir executar a descriptografia SSL, é possível primeiro permitir que a solicitação CONNECT seja bem-sucedida e, posteriormente, bloquear / redirecionar a próxima solicitação HTTP que passa por esse túnel de conexão estabelecido - leve em consideração que talvez nem seja HTTP, pois alguns aplicativos usam o encapsulamento proxy CONNECT para seus próprios protocolos (como o Skype, por exemplo).
Além disso, é necessário ter em mente: se o aplicativo usar a técnica de "fixação de SSL" ao fazer solicitações CONNECT ao proxy, ele se recusará a trabalhar com conexões descriptografadas.