security - son - ¿Están cifrados los encabezados HTTPS?

HTTPS (HTTP sobre SSL) envía todo el contenido HTTP a través de un túnel SSL, por lo que el contenido HTTP y los encabezados también están cifrados.

La versión 1.1 de HTTP agregó un método HTTP especial, CONECTAR, destinado a crear el túnel SSL, incluido el protocolo de enlace necesario y la configuración criptográfica.
A partir de entonces, todas las solicitudes regulares se envían envueltas en el túnel SSL, encabezados y cuerpo incluido.

Los encabezados están totalmente encriptados. La única información que pasa por la red "en claro" está relacionada con la configuración de SSL y el intercambio de claves D / H. Este intercambio está cuidadosamente diseñado para no proporcionar ninguna información útil a los interceptores, y una vez que ha tenido lugar, todos los datos están encriptados.

Nueva respuesta a la vieja pregunta, lo siento. Pensé en agregar mi $ .02

El OP preguntó si los encabezados estaban encriptados.

Ellos son: en tránsito.

NO son: cuando no están en tránsito.

Por lo tanto, la URL de su navegador (y el título, en algunos casos) puede mostrar la cadena de consulta (que generalmente contiene los detalles más confidenciales) y algunos detalles en el encabezado; el navegador conoce cierta información de encabezado (tipo de contenido, Unicode, etc.); y el historial del navegador, la administración de contraseñas, los favoritos / marcadores y las páginas en caché contendrán la cadena de consulta. Los registros del servidor en el extremo remoto también pueden contener cadenas de consulta, así como algunos detalles del contenido.

Además, la URL no siempre es segura: el dominio, el protocolo y el puerto están visibles; de lo contrario, los enrutadores no saben a dónde enviar sus solicitudes.

Además, si tiene un proxy HTTP, el servidor proxy conoce la dirección, por lo general no conocen la cadena de consulta completa.

Entonces, si los datos se están moviendo, generalmente están protegidos. Si no está en tránsito, no está encriptado.

No para seleccionar, pero los datos al final también se descifran, y se pueden analizar, leer, guardar, reenviar o descartar a voluntad. Y, el malware en cualquiera de los extremos puede tomar instantáneas de los datos que ingresan (o salen) del protocolo SSL, como Javascript (incorrecto) dentro de una página dentro de HTTPS que puede realizar llamadas HTTP (o https) a sitios web de registro (desde el acceso al disco duro local A menudo es restringido y no es útil).

Además, las cookies tampoco están cifradas bajo el protocolo HTTPS. Los desarrolladores que desean almacenar datos confidenciales en cookies (o en cualquier otro lugar) necesitan usar su propio mecanismo de cifrado.

En cuanto al almacenamiento en caché, la mayoría de los navegadores modernos no almacenan en caché las páginas HTTPS, pero este hecho no está definido por el protocolo HTTPS, sino que depende completamente del desarrollador de un navegador para no almacenar en caché las páginas recibidas a través de HTTPS.

Así que si estás preocupado por la inhalación de paquetes, probablemente estés bien. Pero si te preocupa el malware o alguien que busca en tu historial, marcadores, cookies o caché, aún no estás fuera del agua.

Sí, los encabezados están encriptados. Está escrito here .

Todo en el mensaje HTTPS está cifrado, incluidos los encabezados y la carga de solicitud / respuesta.

Todo el lote está cifrado ^† - todos los encabezados. Es por eso que SSL en vhosts no funciona muy bien: necesita una dirección IP dedicada porque el encabezado del Host está cifrado.

^† El estándar de Identificación de nombre de servidor (SNI) significa que el nombre de host puede no estar cifrado si está usando TLS. Además, ya sea que esté utilizando SNI o no, los encabezados TCP e IP nunca se cifran. (Si lo fueran, sus paquetes no serían enrutables).

la URL también está encriptada, realmente solo tiene la IP, el Puerto y, si es SNI, el nombre del host que no está encriptado.