Я прочитал много связанных тем. Уже опробованы git config --global http.sslVerify false и export GIT_SSL_NO_VERIFY=true. Это решает проблему "Получен HTTP-код 407 от прокси-сервера после CONNECT" для одного репо. Но в случае рекурсивного клонирования он успешно клонирует основное репо и выдает одинаковую ошибку для каждого из подмодулей. Те же ошибки с использованием из Vundle после : PluginInstall (неудивительно - он выполняет те же рекурсивные клоны). Хотите, чтобы git игнорировал ssl более строго, чем глобальный .gitconfig. Это возможно?
PS: проблемы с ssl-handshake возникают только при работе с github. На фирме надо работать над прокси ..