Могу ошибаться, я это помню следующим образом. Сквид может работать с SSL соединениями в нескольких режимах.
1. peek + splice - в этом режиме он просто выдергивает имя ресурса с помощью SNI и клиент дальше работает с ресурсом. Т.е. не происходит подмена сертификата. Этот режим подходит для transparent proxy
2. stare + bump - а вот тут, сквид еще и в "разговор" между клиентом и сервером полезет, то есть вполне себе классический MITM.