¿Cómo los proxies HTTP pueden detectar paquetes HTTP?

Conozco la teoría sobre los poderes, lo que son y sus propósitos.

A veces, los proxies HTTP (s) se usan dentro de una empresa para filtrar la red saliente, por ejemplo, para evitar todo menos HTTP / HTTP. Conozco a una persona dentro de dicha compañía y ni siquiera puede usar SSH en ningún puerto. Por otro lado, todos los puertos parecen estar abiertos, siempre y cuando lo use para HTTP o HTTP (o simplemente TLS, no lo sé).

En teoría, si miro el modelo OSI, todo lo que viene después de la capa de sesión está cifrado. Entonces, las únicas cosas relevantes que un proxy puede ver cuando un usuario navega por un sitio HTTP es IP, puerto y quizás el nombre de dominio en ciertos casos, ¿verdad?

Puede ser muy tonto, pero no puedo encontrar una respuesta a esta pregunta:

¿Cómo es posible que un proxy HTTPs detecte un paquete como HTTPs (y no solo TLS), si algo después de la cabecera TLS está cifrado?

Intenté rastrear mi red local, buscar una pista pero no vi una mención del protocolo de aplicación en las capas de sesión o transporte

El primer paquete dentro de una conexión HTTP (la solicitud HTTP) o una conexión HTTPS (el TLS ClientHello) se distinguen claramente del primer paquete en SSH. El cifrado de HTTPS / TLS no ayuda aquí porque puede detectar este tráfico mediante el reconocimiento inicial que precede al cifrado.

Pero esto no es infalible. Por ejemplo, Skype intenta varios métodos para pasar a través de firewalls y uno es hacer que su tráfico se vea lo suficientemente similar a TLS que muchos firewalls lo dejan pasar, aunque Skype no habla TLS real.