Question Les en-têtes HTTPS sont-ils cryptés?


Lors de l'envoi de données via HTTPS, je sais que le contenu est crypté, mais j'entends des réponses mitigées quant à savoir si les en-têtes sont cryptés, ou quelle partie de l'en-tête est cryptée.

Combien d'en-têtes HTTPS sont crypté?

Y compris les URL de demande GET / POST, les cookies, etc.


435
2017-10-09 15:00


origine


Réponses:


Le lot entier est crypté - Tous les en-têtes. C'est pourquoi SSL sur vhosts ne fonctionne pas très bien - vous avez besoin d'une adresse IP dédiée car l'en-tête de l'hôte est crypté.

La norme d'identification de nom de serveur (SNI) signifie que le nom d'hôte ne peut pas être chiffré si vous utilisez TLS. De même, que vous utilisiez ou non SNI, les en-têtes TCP et IP ne sont jamais chiffrés. (S'ils l'étaient, vos paquets ne seraient pas routables.)


410
2017-10-09 15:04



Les en-têtes sont entièrement cryptés. La seule information sur le réseau «en clair» est liée à la configuration SSL et à l'échange de clés D / H. Cet échange est soigneusement conçu pour ne fournir aucune information utile aux oreilles indiscrètes et, une fois que cela a eu lieu, toutes les données sont cryptées.


84
2017-10-09 15:05



La version 1.1 de HTTP a ajouté une méthode HTTP spéciale, CONNECT - destinée à créer le tunnel SSL, y compris la négociation protocolaire nécessaire et la configuration cryptographique.
Les requêtes régulières sont ensuite envoyées dans le tunnel SSL, les en-têtes et le corps inclus.


48
2017-10-09 22:11



Nouvelle réponse à la vieille question, désolé. Je pensais ajouter mon $ .02

L'OP a demandé si les en-têtes étaient cryptés.

Ils sont: en transit.

Ils ne sont pas: lorsqu'ils ne sont pas en transit.

Ainsi, l'URL de votre navigateur (et son titre, dans certains cas) peut afficher la chaîne de requête (qui contient généralement les détails les plus sensibles) et certains détails dans l'en-tête; le navigateur connaît certaines informations d'en-tête (type de contenu, unicode, etc.); L'historique du navigateur, la gestion des mots de passe, les favoris / signets et les pages en cache contiendront tous la chaîne de requête. Les journaux du serveur à distance peuvent également contenir une chaîne de requête ainsi que des informations sur le contenu.

De plus, l'URL n'est pas toujours sécurisée: le domaine, le protocole et le port sont visibles, sinon les routeurs ne savent pas où envoyer vos requêtes.

De plus, si vous avez un proxy HTTP, le serveur proxy connaît l'adresse, généralement il ne connaît pas la chaîne de requête complète.

Donc, si les données sont en mouvement, elles sont généralement protégées. S'il n'est pas en transit, il n'est pas crypté.

Ne pas choisir, mais les données à la fin sont également déchiffrées, et peuvent être analysées, lues, enregistrées, transférées ou mises au rebut à volonté. Et les logiciels malveillants à chaque extrémité peuvent prendre des instantanés de données entrant (ou sortant) le protocole SSL - comme le (mauvais) Javascript dans une page HTTPS qui peut faire subrepticement des appels http (ou https) à des sites Web de connexion (depuis l'accès au disque dur local). est souvent restreint et inutile).

De plus, les cookies ne sont pas chiffrés sous le protocole HTTPS non plus. Les développeurs qui souhaitent stocker des données sensibles dans des cookies (ou ailleurs) doivent utiliser leur propre mécanisme de cryptage.

En ce qui concerne le cache, la plupart des navigateurs modernes ne mettent pas en cache les pages HTTPS, mais ce fait n'est pas défini par le protocole HTTPS. Il dépend entièrement du navigateur pour ne pas mettre en cache les pages reçues via HTTPS.

Donc, si vous êtes préoccupé par le reniflage de paquets, vous êtes probablement d'accord. Mais si vous êtes préoccupé par les logiciels malveillants ou quelqu'un qui fouille votre historique, vos signets, vos cookies ou votre cache, vous n'êtes pas encore hors de l'eau.


45
2017-07-22 13:48



Avec SSL, le cryptage est au niveau du transport, donc il a lieu avant l'envoi d'une requête.

Donc, tout dans la demande est crypté.


40
2017-10-09 15:05



HTTPS (HTTP sur SSL) envoie tout le contenu HTTP via un tunel SSL, de sorte que le contenu et les en-têtes HTTP sont également chiffrés.


33
2017-10-09 15:10



Oui, les en-têtes sont cryptés. Ça s'écrit ici.

Tout le contenu du message HTTPS est chiffré, y compris les en-têtes et la demande / réponse.


15
2018-02-18 13:23



l'URL est également cryptée, vous n'avez vraiment que l'IP, le port et si SNI, le nom d'hôte qui n'est pas crypté.


6
2017-11-21 05:25