Может ли HTTP/HTTPS proxy отличить браузер от не-браузера?

Хедеры можно подделать, поэтому нет. В случае CONNECT можно проверять, например, наличие SNI в хэндшейке, или наличие TLS/SSL как такого вообще. Но это уже близко к DPI, и такого функционала в проксях может не быть.

А чем это работа с сетью браузера отличается от не-браузера?

Я тебе браузером могу прикинуться не-браузером, если хочешь.

сам то понял, что сказал? define браузер

В самом простом случае проверяется User-agent, передаваемый по http/https, смотрите например forum.opennet.ru - «Как в squid сделать проверку useragent???»(2)

сам то понял, что сказал? define браузер

https://ru.wikipedia.org/wiki/Браузер

Так это будет работать в случае HTTPS? Если да, то интересно как...

Ой. Может и не будет. Он ведь шифрует трафик.

Можно посмотреть в сторону грубого хака, который состоит в том, чтобы всем клиентам поставить свой корневой сертификат, стоящий и на прокси. Но это только гипотеза, и не знаю, реализуется ли это средствами squid.

Это как делают касперские и тому подобное: в браузере стоит их корневой сертификат касперского, с помощью которого анализируется трафик.

Можно посмотреть в сторону грубого хака, который состоит в том, чтобы всем клиентам поставить свой корневой сертификат, стоящий и на прокси. Но это только гипотеза, и не знаю, реализуется ли это средствами squid.

Да, это можно и squid это умеет (подменять сертификаты), но вопрос как в таком случае не перехватывать трафик не-браузеров, которые этому сертификату не доверяют.

Для небраузеров надо ставить корневой сертификат не в хранилище браузера, а в хранилище на уровне операционной системы клиента?

А чёрт их знает. У них, возможно, вообще один сертификат зашит, которому они доверяют, и всё. Множество браузеров более-менее известно, а вот множество не-бразуеров не определено. Это может быть что угодно.

Я смотрел вот сюда: http://wiki.squid-cache.org/Features/SslPeekAndSplice и меня смущает там вот это вот место:

Limitations
Peeking at the server often precludes bumping
To peek at the server certificate, Squid must forward the entire Client Hello intact. If that Client Hello or the server response contains any TLS extensions that Squid does not support or understand (many do!), then Squid cannot reliably bump the connection because the other two sides of that bumped communication may start using those extensions, confusing Squid's OpenSSL in unpredictable ways.

Да, если SQUID не поддерживает какие-то расширения TLS, можно опростоволоситься.

со 100% уверенностью нет.

Если тебе нужно добавить запрет для обычных пользователей, то всё будет работать. Если для широкой аудитории, то нет. Хидеры легко подделать, и всё остальное тоже.

Если тебе нужно добавить запрет для обычных пользователей, то всё будет работать.

Мне нужно не запрет, а обрабатывать трафик от браузеров несколько по-другому. Если пользователь решит это обойти, то ССЗБ.

Мне нужно не запрет, а обрабатывать трафик от браузеров несколько по-другому. Если пользователь решит это обойти, то ССЗБ.

А у вас есть полный список юзерагентов ? И вы конечно следите за появлением новых? Да у вас очень много свободного времени походу.
По теме вам уже ответили, прикинуться браузером можно как угодно.