Dipende anche dalla tua definizione di cliente. Come potresti codificare qualcosa (non un browser conosciuto) per non convalidare il certificato dato e che potrebbe essere una sorta di autofirmato dal proxy che hai citato.
Tuttavia, poiché il client non controlla gli elementi, il proxy potrebbe ingannare il client.
Oltre a tenere d'occhio i reindirizzamenti, puoi chiedere su facebook.com (non assumere ancora HSTS), ma il risultato potrebbe essere reindirizzato a qualcosa come fb.example_proxy.com
anche in https con un certificato attendibile. Quindi, non eseguendo il percorso che hai reindirizzato, il proxy ora può avere i dati che pensi di inviare a Facebook.
Ho avuto alcuni problemi con il firefox, dove firefox segna alcuni completamente sicuri con certificati affidabili come connessioni non sicure (anche google.com). Voglio dire anche un client leggendario come Firefox potrebbe venire con questo tipo di bug, e potrebbe anche essere vice-versa.