本家にプルリク出したらマージされました。
https://github.com/cocos2d/cocos2d-x/pull/8029
cocos2d-xのHttpClientは、内部で使用しているcurlのオプションでSSL証明書のチェックが無効化されていたので、これを有効化できるようにしました。
auto path = FileUtils::getInstance()->fullPathForFilename("cacert.pem");
HttpClient::getInstance()->setSSLVerification(path);
こうすると、ローカルに持っているSSLのルート証明書を使って、ちゃんと意図したサーバーに接続しようとしているかを検証できます。