当前位置: 首页>>技术问答>>正文


HTTPS URL是否被加密?

qingchuanTR 技术问答 , , , 去评论

使用TLS/SSL(HTTPS)加密时,所有的URL都被加密了吗?我想知道,因为我想要使用TLS/SSL(HTTPS)隐藏所有URL数据。

如果TLS/SSL提供了全面的URL加密,那么就不用操心隐藏来自URL的机密信息了。

https

最佳解决思路

是的,HTTPS对URL加密了。SSL连接建立在TCP层和HTTP层之间。客户端和服务器首先建立一个安全的加密的TCP连接(通过SSL/TLS协议),然后客户端将通过该加密的TCP连接发送HTTP请求(GET,POST,DELETE ...)。

次佳解决思路

帖子other answers已经指出,https "URLs"确实是加密的。但是,解析域名时,DNS请求/响应可能不是,另外,如果使用的是浏览器,访问的URL也可能会被记录下来。

第三种解决思路

这里提供一个抓包截图。服务器名称(URL的域名部分)以明文显示在ClientHello数据包中。

以下显示的浏览器请求为:https://i.stack.imgur.com/path/?some=parameters&go=here

这个帖子可以查看有关TLS版本字段的更多信息(其中有3个 - 不是版本,每个字段都包含一个版本号!)

http,post,ssl,https,httprequest

简而言之:

  • 如果使用SNI扩展,则FQDN(URL的域名部分)可以明文在ClientHello数据包内传输

  • 由于请求URL是一个HTTP事物(OSI第7层),因此URL的其余部分(/path/?some=parameters&go=here)在ClientHello中看不到,因此它永远不会在TLS握手(第4层或第5层)中显示。

汇总

域名可以明文传输(如果在TLS握手中使用SNI扩展),但URL(路径和参数)始终是加密的。

参考文献

本文由《纯净的天空》出品。文章地址: https://vimsky.com/article/3689.html,未经允许,请勿转载。