- SSL_BUMP: vai possibilitar filtrar o trafego https mesmo com o squid transparente. provavelmente vai te render uma dor de cabeça com erro de certificados em alguns sites
- WPAD: vai automatizar a configuração do proxy no cliente, fazendo com que o tráfego HTTPS seja direcionado para o proxy desde o cliente, sem necessidade de redirect no firewall
- GP: não manjo mto, mas acho que nesta situação tem função análoga a do WPAD, só que a configuração automática vai ser por regras de group policy vindas do AD. Somente para ambientes windows.
Usando squid e tendo transparência (transparente do ponto de vista do usuário, não da rede), acho que essas são as soluções que são eficazes. Em todas essas, o trafego vai passar pelo squid que vai realizar o bloqueio por url. Desconheço outra maneira de fazer esse bloqueio usando squid de maneira transparente para o usuário.