Es posible diferenciar entre "tráfico VPN" y "tráfico SSL estándar", por supuesto, para una noción apropiada de "estándar". Supongo que por "estándar", te refieres a las personas que usan un navegador web para acceder a los sitios web de HTTPS.
El punto es que si bien SSL es bastante bueno para ocultar contenidos de datos, pierde la longitud de los datos: al observar los registros de SSL, se puede calcular la longitud de los contenidos de texto claro (posiblemente hasta la precisión de un solo byte). Un navegador web emitirá solicitudes HTTP, cuya longitud es generalmente de unos pocos cientos de bytes, lo que resulta en una respuesta correspondiente (y mayor); y habrá pausas. El tráfico IP genérico encapsulado en una VPN basada en SSL debe mostrar un patrón distinto (en particular, los protocolos de enlace de tres vías TCP deben ser bastante visibles).
Si bien estas pruebas nunca serán 100% confiables, pueden ser bastante efectivas. A menos que los usuarios sean plenamente conscientes de la presencia y el funcionamiento de dicho mecanismo de detección, e intenten vencerlo. Esto puede convertirse en una larga y tediosa guerra de detección y sigilo. Si sus usuarios están realmente interesados en configurar una VPN, este podría ser por alguna razón bastante legítima; puede valer la pena replantearse por qué quiere bloquear VPN pero aún así permitir "HTTPS estándar".