Beim Senden von Daten über HTTPS weiß ich, dass der Inhalt verschlüsselt ist. Ich höre jedoch gemischte Antworten darüber, ob die Header verschlüsselt sind oder wie viel des Headers verschlüsselt ist.
Wie viele HTTPS-Header sind verschlüsselt?
Einschließlich GET / POST-Anforderungs-URLs, Cookies usw.
Antworten:
Das ganze Los ist verschlüsselt † - alle Header. Aus diesem Grund funktioniert SSL auf vhosts nicht so gut. Sie benötigen eine dedizierte IP-Adresse, da der Host-Header verschlüsselt ist.
† Der SNI-Standard (Server Name Identification) bedeutet, dass der Hostname möglicherweise nicht verschlüsselt wird, wenn Sie TLS verwenden. Unabhängig davon, ob Sie SNI verwenden oder nicht, werden die TCP- und IP-Header niemals verschlüsselt. (Wenn dies der Fall wäre, wären Ihre Pakete nicht routingfähig.)
quelle
Die Header sind vollständig verschlüsselt. Die einzigen Informationen, die über das Netzwerk "im Klartext" gesendet werden, beziehen sich auf das SSL-Setup und den D / H-Schlüsselaustausch. Dieser Austausch wurde sorgfältig entwickelt, um Lauschern keine nützlichen Informationen zu liefern. Sobald er stattgefunden hat, werden alle Daten verschlüsselt.
quelle
Neue Antwort auf alte Frage, sorry. Ich dachte, ich würde meine $ .02 hinzufügen
Das OP fragte, ob die Header verschlüsselt seien.
Sie sind: unterwegs.
Sie sind NICHT: wenn nicht unterwegs.
So kann die URL Ihres Browsers (und in einigen Fällen der Titel) den Querystring (der normalerweise die vertraulichsten Details enthält) und einige Details in der Kopfzeile anzeigen. Der Browser kennt einige Header-Informationen (Inhaltstyp, Unicode usw.). Der Browserverlauf, die Kennwortverwaltung, Favoriten / Lesezeichen und zwischengespeicherte Seiten enthalten alle den Querystring. Serverprotokolle auf der Remote-Seite können auch Querystring sowie einige Inhaltsdetails enthalten.
Außerdem ist die URL nicht immer sicher: Domäne, Protokoll und Port sind sichtbar. Andernfalls wissen Router nicht, wohin sie Ihre Anforderungen senden sollen.
Wenn Sie einen HTTP-Proxy haben, kennt der Proxyserver die Adresse. Normalerweise kennt er nicht den vollständigen Querystring.
Wenn sich die Daten also bewegen, sind sie im Allgemeinen geschützt. Wenn es nicht unterwegs ist, ist es nicht verschlüsselt.
Nicht zu wählen, aber Daten am Ende werden ebenfalls entschlüsselt und können nach Belieben analysiert, gelesen, gespeichert, weitergeleitet oder verworfen werden. Und Malware an beiden Enden kann Schnappschüsse von Daten erstellen, die in das SSL-Protokoll eingegeben (oder beendet) werden - beispielsweise (schlechtes) Javascript auf einer Seite in HTTPS, das heimlich http- (oder https-) Aufrufe an Protokollierungswebsites tätigen kann (seit dem Zugriff auf die lokale Festplatte) ist oft eingeschränkt und nicht nützlich).
Außerdem werden Cookies auch nicht unter dem HTTPS-Protokoll verschlüsselt. Entwickler, die vertrauliche Daten in Cookies (oder anderswo) speichern möchten, müssen ihren eigenen Verschlüsselungsmechanismus verwenden.
In Bezug auf den Cache werden die meisten modernen Browser keine HTTPS-Seiten zwischenspeichern. Diese Tatsache wird jedoch nicht durch das HTTPS-Protokoll definiert. Es hängt vollständig vom Entwickler eines Browsers ab, um sicherzustellen, dass keine über HTTPS empfangenen Seiten zwischengespeichert werden.
Wenn Sie sich also Sorgen um das Schnüffeln von Paketen machen, sind Sie wahrscheinlich in Ordnung. Wenn Sie sich jedoch Sorgen über Malware oder jemanden machen, der Ihren Verlauf, Ihre Lesezeichen, Cookies oder Ihren Cache durchsucht, sind Sie noch nicht aus dem Wasser.
quelle
In HTTP Version 1.1 wurde die spezielle HTTP-Methode CONNECT hinzugefügt, mit der der SSL-Tunnel erstellt werden soll, einschließlich des erforderlichen Protokoll-Handshakes und der kryptografischen Einrichtung.
Die regulären Anforderungen danach werden alle im SSL-Tunnel, in den Headern und im Body einschließlich eingeschlossen.
quelle
Bei SSL befindet sich die Verschlüsselung auf Transportebene, sodass sie erfolgt, bevor eine Anforderung gesendet wird.
Also ist alles in der Anfrage verschlüsselt.
quelle
HTTPS (HTTP über SSL) sendet alle HTTP-Inhalte über einen SSL-Tunnel, sodass auch HTTP-Inhalte und -Header verschlüsselt werden.
quelle
Ja, Header sind verschlüsselt. Es ist hier geschrieben .
quelle
Die URL ist auch verschlüsselt, Sie haben wirklich nur die IP, den Port und bei SNI den Hostnamen, die unverschlüsselt sind.
quelle