Sont HTTPS en-têtes crypté?

Lors de l'envoi de données via le protocole HTTPS, je sais que le contenu est crypté, mais j'entends des réponses mitigées quant à savoir si les en-têtes sont cryptées, ou comment une grande partie de l'en-tête est crypté.

Combien de HTTPS en-têtes sont crypté?

Y compris GET/POST de demande d'Url, Cookies, etc.

  • Les en-Têtes HTTP en HTTPS sont cryptées, et aussi de ne pas HTTP Comprimé (même si le corps est). Cela les rend moins vulnérables à la compression liée à des attaques comme BÊTE
InformationsquelleAutor Dan Herbert | 2008-10-09
  1. 492

    L'ensemble du lot est crypté - tous les en-têtes.
    C'est pourquoi le protocole SSL sur serveur virtuel ne fonctionne pas trop bien, mais vous avez besoin d'une adresse IP dédiée, car l'en-tête d'Hôte est crypté.

    Le Nom du Serveur d'Identification (SNI) la norme signifie que le nom d'hôte ne peut pas être chiffré si vous êtes à l'aide de TLS. Aussi, si vous utilisez la SNI ou pas, les protocoles TCP et IP en-têtes ne sont jamais chiffrés. (Si elles l'étaient, vos paquets ne serait pas routable.)

    • Depuis le vhost de la passerelle est autorisé, ne Pouvait pas la passerelle décrypter eux, d'observer l'en-tête d'Hôte, puis de déterminer quel hôte pour envoyer les paquets?
    • Autant que je sache, l'URL n'est pas chiffré.
    • qu'entendez-vous par "l'URL n'est pas chiffré.". Il est crypté, il fait partie de l'en-tête.
    • Si Fiddler est utilisé pour la capture de la communication https, il a toujours l'affichage des en-têtes, pourquoi? En particulier, lorsque la connexion internet via un proxy qui requiert une authentification, il affiche le Proxy-Authorization-tête lorsque la demande est renvoyé après qu'il se 407 au premier envoi.
    InformationsquelleAutor Greg
  2. 92

    Les en-têtes sont entièrement cryptées. La seule information sur le réseau 'en clair' est lié à la configuration de SSL et D/H de l'échange de clés. Cet échange est conçu avec soin à ne pas céder toute information utile pour les oreilles indiscrètes, et une fois qu'il a eu lieu, toutes les données sont cryptées.

    • Pas tous la configuration de SSL implique DH
    • Pour être un peu pédant: L'adresse IP du client et du serveur, le nom d'hôte du serveur, et les signaux de leurs implémentations SSL sont utiles pour les oreilles indiscrètes et sont visibles.
    InformationsquelleAutor mdb
  3. 52

    HTTP version 1.1 ajoute un méthode HTTP, CONNECTEZ - destiné à créer le tunnel SSL, y compris les mesures de protocole de poignée de main et de chiffrement de l'installation.

    Les demandes régulières par la suite, tous envoyés enveloppé dans le tunnel SSL, les en-têtes et le corps inclusive.

    • Quand est CONNECTER utilisé pour créer le tunnel SSL?
    InformationsquelleAutor AviD
  4. 51

    Nouvelle réponse à la vieille question, désolé. Je pensais que je voudrais ajouter mon $.02

    L'OP a demandé si les en-têtes ont été chiffrés.

    Ils sont en transit.

    Ils ne le sont PAS: lorsqu'il n'est pas en transit.

    Donc, URL de votre navigateur (et le titre, dans certains cas) peut afficher la chaîne de requête (qui contiennent généralement les plus sensibles de détails) et quelques détails dans l'en-tête; le navigateur connaît quelques informations d'en-tête (type de contenu, unicode, etc); et l'historique du navigateur, gestion des mots de passe, favoris/signets et les pages mises en cache seront tous contiennent la chaîne de requête. Les journaux de serveur sur l'hôte distant peut également contenir de la chaîne de recherche ainsi que certains détails du contenu.

    Aussi, l'URL n'est pas toujours sûr: le domaine, le protocole et le port sont visibles autrement routeurs ne sais pas où envoyer vos demandes.

    Aussi, si vous avez un proxy HTTP, le serveur proxy connaît l'adresse, généralement ils ne savent pas la totalité de la chaîne de recherche.

    Donc, si les données sont en mouvement, il est généralement protégé. Si ce n'est pas en transit, il n'est pas chiffrée.

    De ne pas la petite bête, mais les données à la fin est également décrypté, et peut être analysé, lire, enregistré, transmis ou jeté à volonté. Et, les logiciels malveillants à chaque extrémité pouvez prendre des instantanés de données entrant (ou sortant) le protocole SSL - tels que les (mauvais) Javascript à l'intérieur d'une page à l'intérieur de HTTPS qui peut subrepticement faire http (ou https) appelle à l'enregistrement des sites web (puisque l'accès aux locaux de disque dur est souvent restreint et pas utile).

    Aussi, les cookies ne sont pas cryptées sous le protocole HTTPS, soit. Les développeurs souhaitent stocker des données sensibles dans des cookies (ou n'importe où ailleurs pour cette matière) doivent utiliser leur propre mécanisme de chiffrement.

    De cache, la plupart des navigateurs modernes ne cache pages HTTPS, mais ce fait n'est pas définie par le protocole HTTPS, il dépend entièrement de ce que le développeur d'un navigateur pour être sûr de ne pas mettre en cache les pages reçues via le protocole HTTPS.

    Donc, si vous êtes inquiet au sujet de reniflage de paquets, vous êtes probablement d'accord. Mais si vous êtes inquiet au sujet de logiciels malveillants ou de quelqu'un, piquer à travers votre histoire, les signets, les cookies, ou de cache, vous n'êtes pas hors de l'eau encore.

    • Je sais que les bonnes réponses sont sur le dessus, mais une fois encore inserts défectueux de l'information. Domaine est pas visible, à moins que le SNI est utilisé. Protocole, autres que les IP et TCP sont pas visible. Vous ne pouvez pas dire si je suis à l'aide de HTTP 1.1, SPDY ou HTTP2. Ce qui est visible sur les deux points de terminaison n'est pas pertinent, comme l'objectif de chiffrement n'est pas de faire des choses invisible, mais pour rendre les choses seulement visible de tiers de confiance. Donc les points de terminaison sont impliquées dans la question et environ les 2/3 de réponse à votre question peut être supprimé. Les informations de proxy doit être: si vous utilisez un proxy HTTPS, puis n'ont accès à tout ce.
    • Je maintiens ma réponse. https.cio.gov/faq
    • Votre lien dit spécifiquement que les cookies sont cryptées: "Le visiteur de la connexion est chiffrée, en masquant les Url, cookies et d'autres sensibles métadonnées."
    • Oui, c'est correct. Les Cookies sont cryptées pendant le transport, mais une fois qu'ils atteignent le navigateur, ils ne sont pas cryptées par le protocole SSL. Il est possible pour un développeur pour crypter les données du cookie, mais qui est hors de portée pour SSL.
    • SSL secure socket calque; TLS = transport couche de sécurité. Le chiffrement est à la prise (de connexion) au niveau ou à un autre au niveau du transport pas stockées dans le navigateur par domaine de base de données.
    • Sensibles à la sécurité des cookies HTTP sont presque toujours opaque références (en général c'est un fort niveau de chiffrement de nombre aléatoire) à un enregistrement dans la base de données du serveur de sessions authentifiées. En tant que tel pour crypter ce sens identificateur principalement à apporter plus de complexité.
    • curiousguy: oui, je sais. La réponse dit qu'ils ne sont pas cryptés par le protocole https (ce qui implique ssl). Ils sont. Ils ne sont pas chiffrés dans le navigateur. Ni les en-têtes ou de tout contenu (ou s'ils le sont, ils voient trivialement décrypté).

    InformationsquelleAutor Andrew Jennings
  5. 42

    Avec SSL, le cryptage est au niveau du transport, si elle a lieu avant l'envoi d'une requête.

    Donc, tout dans la demande est crypté.

    • Depuis SSL prend place dans la couche de transport et de l'affectation de l'adresse de destination des paquets (en-tête) a lieu dans la couche réseau (qui est en dessous de transport ), comment les en-têtes sont cryptées?
    • Parce que les en-têtes HTTP en direct sur la couche d'application et sont donc, par défaut, chiffré en raison d'une baisse/ancêtre de la couche de chiffrement.
    InformationsquelleAutor blowdart
  6. 37

    HTTPS (HTTP over SSL) envoie tout le contenu HTTP sur SSL tunel, de sorte que l'adresse HTTP du contenu et les en-têtes sont cryptées.

    InformationsquelleAutor CMS
  7. 19

    Oui, les en-têtes sont cryptées. Il est écrit ici.

    Tout dans le HTTPS message est crypté, y compris les en-têtes, et la demande/réponse de la charge.

    • Wikipédia n'est pas la spec, qui est ce que vous devriez être en citant.
    InformationsquelleAutor keypress
  8. 7

    l'URL est également crypté, vous avez vraiment seulement l'IP, le Port et si le SNI, le nom de l'hôte ne sont pas cryptées.

    • Même si le SNI n'est pas pris en charge, un intermédiaire capable d'intercepter les connexions HTTP, sera souvent capable de surveillance DNS questions trop (plus l'interception se fait à proximité du client, comme sur les pirates de l'utilisateur du routeur). Ainsi, ils seront en mesure de voir les noms DNS.
    InformationsquelleAutor xxiao