Если мы прочитаем предупреждение, которое перечислено в документации Squid:

Ни при каких условиях во время обработки ssl_bump ACL dstdomain не будет работать. Этот ACL полагается на детали сообщения HTTP, которые еще не расшифрованы. Вместо этого предоставляется тип acl ssl::server_name, в котором используется CONNECT, SNI или имя субъекта сертификата сервера (в зависимости от того, что доступно).

dstdomain просто проверяет Host:Заголовок отправлен клиентом. Это недоступно для сеанса SSL/TLS.

Мы также видим следующее в документации по настройке ACL в разделе New в Squid 3.5:

Новые типы ssl::server_name и ssl::server_name_regex для сопоставления имени сервера из различных источников (имя органа CONNECT, домен TLS SNI или имя субъекта сертификата X.509).

Таким образом, squid >3.5 поддерживает проверку SNI и может блокировать на основе сертификатов HTTPS и SNI. Squid 3.1 не может.

Полная документация по ACL находится по адресу http://www.squid-cache.org/Doc/config/acl/

Вам необходимо перейти на более новую версию Squid и более новую версию Ubuntu. Вы не можете ожидать, что пятилетнее программное обеспечение будет работать в быстро меняющейся среде, такой как Интернет.