No momento em que o tráfego https chega ao proxy transparente, há apenas o IP "visível": informações insuficientes para recriar o pedido de conexão e procurá-lo.
Quando você define um proxy em seu navegador (manualmente ou por proxy.pac), o navegador sabe enviar mais informações ao proxy sobre o que ele quer.
Alguns proxies podem usar informações SNI para representar de forma transparente a maioria do tráfego SSL - e, em seguida, filtrar o domínio (a partir das informações sni) ou MITM e fazer um trabalho de filtragem completo. Eu trabalho para um fornecedor de um desses filtros - Smoothwall (que também emprega o dansguardian Dan).