Les en-têtes HTTPS sont-ils cryptés?

Lors de l’envoi de données via HTTPS, je sais que le contenu est crypté, mais j’entends des réponses mitigées quant à savoir si les en-têtes sont cryptés ou quelle partie de l’en-tête est cryptée.

Combien d’en-têtes HTTPS sont chiffrés?

Y compris les URL de demande GET / POST, les cookies, etc.

    Le lot entier est crypté – tous les en-têtes. C’est pourquoi SSL sur vhosts ne fonctionne pas très bien – vous avez besoin d’une adresse IP dédiée car l’en-tête de l’hôte est crypté.

    La norme d’identification de nom de serveur (SNI) signifie que le nom d’hôte ne peut pas être chiffré si vous utilisez TLS. De même, que vous utilisiez SNI ou non, les en-têtes TCP et IP ne sont jamais chiffrés. (S’ils l’étaient, vos paquets ne seraient pas routables.)

    Les en-têtes sont entièrement cryptés. La seule information sur le réseau «en clair» est liée à la configuration SSL et à l’échange de clés D / H. Cet échange est soigneusement conçu pour ne fournir aucune information utile aux oreilles indiscrètes et, une fois que cela a eu lieu, toutes les données sont cryptées.

    La version HTTP 1.1 a ajouté une méthode HTTP spéciale, CONNECT – destinée à créer le tunnel SSL, y compris la prise de contact de protocole et la configuration cryptographique nécessaires.
    Les requêtes régulières sont ensuite envoyées dans le tunnel SSL, les en-têtes et le corps inclus.

    Nouvelle réponse à l’ancienne question, désolé. Je pensais append mon $ .02

    L’OP a demandé si les en-têtes étaient cryptés.

    Ils sont: en transit.

    Ils ne sont PAS: lorsqu’ils ne sont pas en transit.

    Ainsi, l’URL de votre navigateur (et le titre, dans certains cas) peut afficher la chaîne de requête (qui contient généralement les détails les plus sensibles) et certains détails dans l’en-tête; le navigateur connaît des informations d’en-tête (type de contenu, unicode, etc.); L’historique du navigateur, la gestion des mots de passe, les favoris / signets et les pages en cache contiendront tous la chaîne de requête. Les journaux du serveur à distance peuvent également contenir une chaîne de requête ainsi que des informations sur le contenu.

    En outre, l’URL n’est pas toujours sécurisée: le domaine, le protocole et le port sont visibles, sinon les routeurs ne savent pas où envoyer vos requêtes.

    De plus, si vous disposez d’un proxy HTTP, le serveur proxy connaît l’adresse, généralement, il ne connaît pas la chaîne de requête complète.

    Donc, si les données sont en mouvement, elles sont généralement protégées. Si ce n’est pas en transit, ce n’est pas crypté.

    Ne pas choisir, mais les données à la fin sont également décryptées et peuvent être analysées, lues, enregistrées, transférées ou supprimées à volonté. De plus, les logiciels malveillants à chaque extrémité peuvent prendre des clichés de données entrant (ou sortant) le protocole SSL – tel que le (mauvais) Javascript dans une page au sein de HTTPS qui permet de passer des appels http (ou https) est souvent restreint et pas utile).

    De plus, les cookies ne sont pas chiffrés sous le protocole HTTPS. Les développeurs qui souhaitent stocker des données sensibles dans des cookies (ou ailleurs) doivent utiliser leur propre mécanisme de cryptage.

    En ce qui concerne le cache, la plupart des navigateurs modernes ne mettent pas en cache les pages HTTPS, mais ce fait n’est pas défini par le protocole HTTPS. Il dépend entièrement du navigateur pour ne pas mettre les pages reçues via HTTPS.

    Donc, si vous êtes préoccupé par le reniflage de paquets, vous êtes probablement d’accord. Mais si vous craignez que des logiciels malveillants ou des utilisateurs fouillent votre historique, vos favoris, vos cookies ou votre cache, vous n’êtes pas encore hors de l’eau.

    Avec SSL, le cryptage est au niveau du transport, il a donc lieu avant l’envoi d’une demande.

    Donc, tout dans la demande est crypté.

    HTTPS (HTTP sur SSL) envoie tout le contenu HTTP via un tunel SSL, de sorte que le contenu et les en-têtes HTTP sont également chiffrés.

    Oui, les en-têtes sont cryptés. C’est écrit ici .

    Tout dans le message HTTPS est chiffré, y compris les en-têtes et le chargement de la requête / réponse.

    l’URL est également cryptée, vous n’avez vraiment que l’IP, le port et si SNI, le nom d’hôte qui n’est pas crypté.