HTTPSヘッダーは暗号化されていますか？

Question

HTTPSを介してデータを送信する場合、コンテンツが暗号化されていることがわかりますが、ヘッダーが暗号化されているか、ヘッダーの暗号化の程度についてはさまざまな回答があります。

どのくらいのHTTPSヘッダーが暗号化されているか ？

GET / POSTリクエストURL、Cookieなどを含む

Answer 1

ロット全体が暗号化されます^＆＃8224; -すべてのヘッダー。 そのため、vhostsでのSSLはうまく機能しません。ホストヘッダーが暗号化されているため、専用のIPアドレスが必要です。

^＆＃8224; サーバー名識別（SNI）標準は、TLSを使用している場合、ホスト名が暗号化されない可能性があることを意味します。また、SNIを使用しているかどうかにかかわらず、TCPおよびIPヘッダーは暗号化されません。 （そうであれば、パケットはルーティングできません。）

Answer 2

ヘッダーは完全に暗号化されています。 「平文」でネットワークを通過する唯一の情報は、SSLセットアップとD / Hキー交換に関連しています。この交換は、盗聴者に有用な情報を提供しないように慎重に設計されており、いったん行われると、すべてのデータが暗号化されます。

Answer 3

HTTPバージョン1.1は、必要なプロトコルハンドシェイクと暗号化設定を含むSSLトンネルを作成するための特別なHTTPメソッドCONNECTを追加しました。
その後の通常のリクエストはすべて、SSLトンネル、ヘッダー、および本文にラップされて送信されます。

Answer 4

古い質問に対する新しい回答、申し訳ありません。 $ .02を追加すると思いました

OPはヘッダーが暗号化されているかどうかを尋ねました。

送信中：

これらはNOT：輸送中ではありません。

したがって、ブラウザのURL（および場合によってはタイトル）は、クエリ文字列（通常は最も機密性の高い詳細を含む）とヘッダーの一部の詳細を表示できます。ブラウザは、ヘッダー情報（コンテンツタイプ、Unicodeなど）を知っています。ブラウザの履歴、パスワード管理、お気に入り/ブックマーク、キャッシュされたページにはすべてクエリ文字列が含まれます。リモートエンドのサーバーログには、クエリ文字列とコンテンツの詳細も含まれます。

また、URLは常に安全であるとは限りません。ドメイン、プロトコル、およびポートが表示されます-さもなければ、ルーターはリクエストの送信先を認識しません。

また、HTTPプロキシを持っている場合、プロキシサーバーはアドレスを知っています。通常、完全なクエリ文字列を知りません。

したがって、データが移動している場合、通常は保護されます。転送中でない場合、暗号化されていません。

ピックを無効にするわけではありませんが、最後のデータも復号化され、自由に解析、読み取り、保存、転送、または破棄できます。そして、どちらかの端のマルウェアは、SSLプロトコルに入る（または出る）データのスナップショットを取ることができます-HTTPS内のページ内の（悪い）Javascript多くの場合、制限されており有用ではありません。）

また、CookieはHTTPSプロトコルでも暗号化されません。 Cookie（またはそれ以外の場所）に機密データを保存したい開発者は、独自の暗号化メカニズムを使用する必要があります。

キャッシュについては、最新のブラウザのほとんどはHTTPSページをキャッシュしませんが、その事実はHTTPSプロトコルで定義されておらず、HTTPS経由で受信したページをキャッシュしないようにブラウザの開発者に完全に依存しています。

したがって、パケットスニッフィングが心配な場合は、おそらく大丈夫です。ただし、マルウェア、または履歴、ブックマーク、Cookie、キャッシュを突っ込んでいる人が心配な場合は、まだ水不足ではありません。

Answer 5

SSLでは、暗号化はトランスポートレベルで行われるため、リクエストが送信される前に暗号化が行われます。

リクエスト内のすべてが暗号化されます。

Answer 6

HTTPS（HTTP over SSL）は、すべてのHTTPコンテンツをSSLトンネルを介してHTTPコンテンツに送信し、ヘッダーも暗号化されます。

Answer 7

はい、ヘッダーは暗号化されています。 ここに記述されています。

  

ヘッダー、リクエスト/レスポンスのロードなど、HTTPSメッセージのすべてが暗号化されます。

Answer 8

URLも暗号化されます。実際には、IP、ポート、SNIの場合は暗号化されていないホスト名のみがあります。