使用TLS/SSL(HTTPS)加密时,所有的URL都被加密了吗?我想知道,因为我想要使用TLS/SSL(HTTPS)隐藏所有URL数据。
如果TLS/SSL提供了全面的URL加密,那么就不用操心隐藏来自URL的机密信息了。
最佳解决思路
是的,HTTPS对URL加密了。SSL连接建立在TCP层和HTTP层之间。客户端和服务器首先建立一个安全的加密的TCP连接(通过SSL/TLS协议),然后客户端将通过该加密的TCP连接发送HTTP请求(GET,POST,DELETE …)。
次佳解决思路
帖子other answers已经指出,https “URLs”确实是加密的。但是,解析域名时,DNS请求/响应可能不是,另外,如果使用的是浏览器,访问的URL也可能会被记录下来。
第三种解决思路
这里提供一个抓包截图。服务器名称(URL的域名部分)以明文显示在ClientHello数据包中。
以下显示的浏览器请求为:https://i.stack.imgur.com/path/?some=parameters&go=here
这个帖子可以查看有关TLS版本字段的更多信息(其中有3个 – 不是版本,每个字段都包含一个版本号!)
简而言之:
-
如果使用SNI扩展,则FQDN(URL的域名部分)可以明文在
ClientHello数据包内传输 -
由于请求URL是一个HTTP事物(OSI第7层),因此URL的其余部分(
/path/?some=parameters&go=here)在ClientHello中看不到,因此它永远不会在TLS握手(第4层或第5层)中显示。
汇总
域名可以明文传输(如果在TLS握手中使用SNI扩展),但URL(路径和参数)始终是加密的。