HTTPS URL是否被加密?
众所周知,HTTPS本质上就是HTTP+TLS的结合,将HTTP协议使用TLS进行加密。那么,在网络上传输的过程中,URL是否被加密呢?因为这关系着GET请求的参数是否会泄露。
答案:
是的,HTTPS对URL加密了。SSL连接建立在TCP层和HTTP层之间。客户端和服务器首先建立一个安全的加密的TCP连接(通过SSL/TLS协议),然后客户端将通过该加密的TCP连接发送HTTP请求(GET,POST,DELETE ...)。
但是:
帖子other answers已经指出,https "URLs"确实是加密的。但是,解析域名时,DNS请求/响应可能不是,另外,如果使用的是浏览器,访问的URL也可能会被记录下来。
这里提供一个抓包截图。服务器名称(URL的域名部分)以明文显示在ClientHello数据包中。
以下显示的浏览器请求为:https://i.stack.imgur.com/path/?some=parameters&go=here
这个帖子可以查看有关TLS版本字段的更多信息(其中有3个 - 不是版本,每个字段都包含一个版本号!)
简而言之:
-
如果使用SNI扩展,则FQDN(URL的域名部分)可以明文在
ClientHello数据包内传输 -
由于请求URL是一个HTTP事物(OSI第7层),因此URL的其余部分(
/path/?some=parameters&go=here)在ClientHello中看不到,因此它永远不会在TLS握手(第4层或第5层)中显示。
汇总:
域名可以明文传输(如果在TLS握手中使用SNI扩展),但URL(路径和参数)始终是加密的。