Questo può essere sicuro.
Il client può inviare una richiesta CONNECT al proxy, che in pratica crea un tunnel tra il client e il server di destinazione. In questo modo, il client può impostare una connessione SSL tramite il proxy e il proxy vedrà il traffico crittografato. Anche se qualcun altro impersona il proxy, vedrà solo il traffico crittografato.
Un'altra possibilità è fare una richiesta GET al proxy. Ciò richiede al proxy di recuperare una pagina per conto dell'utente. Solitamente viene utilizzato solo per il traffico HTTP, ma può anche funzionare per il traffico HTTPS. Se il client utilizza questo metodo per recuperare una pagina, il proxy può visualizzare tutti i dati. Inoltre, un aggressore man-in-the-middle può impersonare il proxy e vedere anche tutti i dati.
Se utilizzi una connessione HTTPS al proxy, è molto più difficile per un aggressore man-in-the-middle impersonare il tuo proxy.
Dipende anche dalla tua definizione di cliente. Come potresti codificare qualcosa (non un browser conosciuto) per non convalidare il certificato dato e che potrebbe essere una sorta di autofirmato dal proxy che hai citato.
Tuttavia, poiché il client non controlla gli elementi, il proxy potrebbe ingannare il client.
Oltre a tenere d'occhio i reindirizzamenti, puoi chiedere su facebook.com (non assumere ancora HSTS), ma il risultato potrebbe essere reindirizzato a qualcosa come fb.example_proxy.com anche in https con un certificato attendibile. Quindi, non eseguendo il percorso che hai reindirizzato, il proxy ora può avere i dati che pensi di inviare a Facebook.
Ho avuto alcuni problemi con il firefox, dove firefox segna alcuni completamente sicuri con certificati affidabili come connessioni non sicure (anche google.com). Voglio dire anche un client leggendario come Firefox potrebbe venire con questo tipo di bug, e potrebbe anche essere vice-versa.