Хедеры можно подделать, поэтому нет. В случае CONNECT можно проверять, например, наличие SNI в хэндшейке, или наличие TLS/SSL как такого вообще. Но это уже близко к DPI, и такого функционала в проксях может не быть.
Можно посмотреть в сторону грубого хака, который состоит в том, чтобы всем клиентам поставить свой корневой сертификат, стоящий и на прокси. Но это только гипотеза, и не знаю, реализуется ли это средствами squid.
Это как делают касперские и тому подобное: в браузере стоит их корневой сертификат касперского, с помощью которого анализируется трафик.
Можно посмотреть в сторону грубого хака, который состоит в том, чтобы всем клиентам поставить свой корневой сертификат, стоящий и на прокси. Но это только гипотеза, и не знаю, реализуется ли это средствами squid.
Да, это можно и squid это умеет (подменять сертификаты), но вопрос как в таком случае не перехватывать трафик не-браузеров, которые этому сертификату не доверяют.
А чёрт их знает. У них, возможно, вообще один сертификат зашит, которому они доверяют, и всё. Множество браузеров более-менее известно, а вот множество не-бразуеров не определено. Это может быть что угодно.
Limitations Peeking at the server often precludes bumping To peek at the server certificate, Squid must forward the entire Client Hello intact. If that Client Hello or the server response contains any TLS extensions that Squid does not support or understand (many do!), then Squid cannot reliably bump the connection because the other two sides of that bumped communication may start using those extensions, confusing Squid's OpenSSL in unpredictable ways.
Если тебе нужно добавить запрет для обычных пользователей, то всё будет работать. Если для широкой аудитории, то нет. Хидеры легко подделать, и всё остальное тоже.
Мне нужно не запрет, а обрабатывать трафик от браузеров несколько по-другому. Если пользователь решит это обойти, то ССЗБ.
А у вас есть полный список юзерагентов ? И вы конечно следите за появлением новых? Да у вас очень много свободного времени походу. По теме вам уже ответили, прикинуться браузером можно как угодно.