Um proxy transparente, por definição, fica man-in-the-middle. O cliente não sabe que o proxy existe e envia suas solicitações para sites baseados em SSL como TCP SYNs para a porta de destino 443.
Se você especificar o proxy explicitamente, o cliente usará o verbo CONNECT
(já que sabe que há um proxy sendo usado), no qual as ACLs (listas de controle de acesso) do Squid podem agir.
Nenhum proxy transparente pode aplicar de maneira confiável o controle de acesso sem executar o intermediário. O melhor que você pode esperar seria atuar sobre o endereço IP de destino que, francamente, só vai lhe dar dores de cabeça, porque você precisará manter constantemente a lista de IPs.