> Подскажите, куда копать, пожалуйста, и можно ли вообще средствами кальмара ограничить https траффик?
> http_port 3128 transparent

Прозрачный сквид и отсутствие всяческих ssl bump-ов. Наверное, клиентский https ходит мимо сквида, через NAT, блокировать в iptables.

Насчёт, можно ли, вариантов 2: непрозрачный сквид (_надо настраивать прокси во всех клиентах и _не пускать их "через NAT") и см.про CONNECT+https+squid, либо ssl bump (и, вроде, тоже непрозрачный сквид нужен? не знаю) + либо "не доверенный сертификат" на все сайты, либо загрузка своего ЦА на клиентах.

...и тут снова два варианта.