Das Ende-zu-Ende-Prinzip möchte ich ja gerade ein wenig angreifen, da ich die Kommunikation im lokalen Netz als sicher ansehen kann und so die Möglichkeit der zentralen Zwischenspeicherung erhalte.
Finde ich nicht gut, aber das ist deine Entscheidung.
Ich habe soweit vollkommene Kontrolle über den Proxy und die Clients, kann also entsprechend verfahren.
Wenn es unbedingt sein muss, erstell eine eigene CA und roll diese in die Clients aus. Wie das dann mit EV Zertifikaten ist weiß ich aber nicht.
Anleitungen scheint man über
squid https gut zu finden.