Очень просто: прокси работают с https с помощью HTTP метода
CONNECT. По сути это просьба клиента: а открой-ка мне TCP соединение до такого-то адреса, дальше я уже сам.
Прокси может попытаться перехватить и подменить TLS handshake, но для этого ему нужно иметь валидный сертификат для требуемого сервера или сертификат доверенного УЦ (тогда он на лету сможет сгенерировать поддельный сертификат).