Egy vállalati környezetben egészen biztosan nem okoz gondot az SSL MIM. Tudom, mert használtuk. Az STS mit sem ér ilyenkor, a PKP-t pedig egy megfelelően beállított vállalati mestercert felülírja a klienseken.
Az egyetlen probléma ~1 éve az volt hogy a squid nem továbbította az SNI-t ezért az SNI-t kihasználó szerverek nem mindig a jó certet küldték. Azóta ez a feature bekerült a squidbe a dokumentáció szerint, de tesztelni nekem még nem volt alkalmam.