Esta não é uma limitação do Squid, é uma limitação do próprio protocolo HTTPS. Se você tentar configurar um proxy HTTPS transparente, invariavelmente precisaria quebrar o canal de criptografia - caso contrário, o proxy não tem como saber qual site carregar. Então você basicamente escolhe entre
- definindo um proxy HTTP em navegadores (que pode ser feito por autodiscovery BTW)
- violar a segurança HTTPS encerrando o canal de criptografia no seu proxy Squid - BumpSSLServerFirst foi escrito com isso em mente . Para que isso funcionasse, seus clientes precisariam confiar na CA do Squid para assinar qualquer certificado - ele teria que ser instalado como uma CA raiz confiável em todos os clientes.
Como a configuração de certificados confiáveis da CA em todos os clientes parece ser mais trabalhosa do que apenas configurar um proxy HTTPS nas configurações do navegador, isso só faria sentido se você planejasse trabalhar com os dados descriptografados nas ACLs ou para o corpo de solicitação / resposta verificação.