Vous faites une bonne analyse de la situation !
Le mode transparent :
ne fonctionne que pour HTTP : la plupart des sites sont déjà passés à HTTPS, pour fonctionner avec HTTPS, il faut SSL BUMP : casse la sécurité, interdit le contrôle, voué à échouer à cause de HSTS, peut-être illégal, bref ...(Vous noterez que peu de gens vérifient le certificat du site web de leur banque : du moment qu'il y a la barre verte !)
Le mode explicite :
fonctionne pour HTTP et HTTPS sans casser la sécurité : il faut le dire !! WPAD fournit le proxy : (assez) facile à mettre en oeuvre, mais tous les matériels et navigateurs ne le supportent pasDifficile de remplir l'exigence légale ...
Le meilleur (moins pire ?) pour moi est mode explicite + WPAD : ça fonctionne sur pas mal de choses, et tant pis pour les smartphone 'ils n'ont qu'à avoir du forfait !'
(Une question pour moi : quels protocoles autorisez vous pour vos clients ? http+https seulement, ou plus de choses ?)