Tutti gli URL sono crittografati quando si utilizza la crittografia TLS / SSL (HTTPS)? Vorrei sapere perché desidero nascondere tutti i dati URL quando si utilizza TLS / SSL (HTTPS).

Se TLS / SSL ti fornisce la crittografia URL totale, non devo preoccuparmi di nascondere informazioni riservate dagli URL.

Sì, la connessione SSL è tra il livello TCP e il livello HTTP. Il client e il server stabiliscono prima una connessione TCP crittografata protetta (tramite il protocollo SSL / TLS) e quindi il client invierà la richiesta HTTP (GET, POST, DELETE ...) su quella connessione TCP crittografata.

Dal momento che nessuno ha fornito una cattura del filo, eccone uno.
Il nome del server (la parte del dominio dell'URL) è presentato nel ClientHellopacchetto, in testo semplice .

Quanto segue mostra una richiesta del browser a:
https://i.stack.imgur.com/path/?some=parameters&go=here

Vedi questa risposta per ulteriori informazioni sui campi della versione TLS (ce ne sono 3 - non versioni, campi che contengono ciascuno un numero di versione!)

Da https://www.ietf.org/rfc/rfc3546.txt :

3.1. Indicazione nome server

[TLS] non fornisce un meccanismo per un client per comunicare a un server il nome del server che sta contattando. Potrebbe essere desiderabile che i clienti forniscano queste informazioni per facilitare connessioni sicure ai server che ospitano più server "virtuali" a un singolo indirizzo di rete sottostante.

Per fornire il nome del server, i client POSSONO includere un'estensione di tipo "nome_server" nel ciao (esteso) del client.

In breve:

• L'FQDN (la parte del dominio dell'URL) PUO ' essere trasmesso in chiaro all'interno del ClientHellopacchetto se viene utilizzata l'estensione SNI

• Il resto dell'URL ( /path/?some=parameters&go=here) non ha attività commerciali ClientHellopoiché l'URL della richiesta è una cosa HTTP (OSI Layer 7), quindi non verrà mai visualizzato in un handshake TLS (Layer 4 o 5). Ciò verrà successivamente in una GET /path/?some=parameters&go=here HTTP/1.1richiesta HTTP, DOPO che il canale TLS sicuro è stato stabilito.

SINTESI

Il nome di dominio PUO 'essere trasmesso in chiaro (se l'estensione SNI è utilizzata nell'handshake TLS) ma l'URL (percorso e parametri) è sempre crittografato.

AGGIORNAMENTO MARZO 2019

Grazie carlin.scott per averne parlato .

Il payload nell'estensione SNI può ora essere crittografato tramite questo progetto di proposta RFC . Questa funzionalità esiste solo in TLS 1.3 (come opzione e spetta ad entrambe le estremità implementarla) e non esiste retrocompatibilità con TLS 1.2 e versioni precedenti.

CloudFlare lo sta facendo e puoi leggere di più sugli interni qui - Se il pollo deve venire prima dell'uovo, dove lo metti?

In pratica ciò significa che invece di trasmettere il nome di dominio completo in testo normale (come mostra la cattura di Wireshark), ora è crittografato.

NOTA: si tratta dell'aspetto della privacy più di quello della sicurezza poiché una ricerca DNS inversa può comunque rivelare l'host di destinazione previsto.

Come hanno già sottolineato le altre risposte , gli "URL" https sono effettivamente crittografati. Tuttavia, la tua richiesta / risposta DNS durante la risoluzione del nome di dominio probabilmente non lo è e, naturalmente, se stavi utilizzando un browser, anche i tuoi URL potrebbero essere registrati.

L'intera richiesta e risposta è crittografata, incluso l'URL.

Si noti che quando si utilizza un proxy HTTP, esso conosce l'indirizzo (dominio) del server di destinazione, ma non conosce il percorso richiesto su questo server (ovvero la richiesta e la risposta sono sempre crittografate).

Sono d'accordo con le risposte precedenti:

Per essere espliciti:

Con TLS, la prima parte dell'URL ( https://www.example.com/ ) è ancora visibile in quanto crea la connessione. La seconda parte (/ herearemygetparameters / 1/2/3/4) è protetta da TLS.

Tuttavia, esistono diversi motivi per cui non è necessario inserire parametri nella richiesta GET.

In primo luogo, come già menzionato da altri: - perdita attraverso la barra degli indirizzi del browser - perdita nella storia

Inoltre, si verifica una perdita di URL tramite il referer http: l'utente visualizza il sito A su TLS, quindi fa clic su un collegamento al sito B. Se entrambi i siti sono su TLS, la richiesta al sito B conterrà l'URL completo dal sito A in il parametro di riferimento della richiesta. E l'amministratore dal sito B può recuperarlo dai file di registro del server B.)

Un'aggiunta alla risposta utile di Marc Novakowski: l'URL è memorizzato nei registri sul server (ad es. In / etc / httpd / logs / ssl_access_log), quindi se non si desidera che il server mantenga le informazioni più a lungo termine, non inserirlo nell'URL.

Sì e no.

La parte dell'indirizzo del server NON è crittografata poiché viene utilizzata per impostare la connessione.

Ciò potrebbe cambiare in futuro con SNI e DNS crittografati, ma a partire dal 2018 entrambe le tecnologie non sono comunemente utilizzate.

Il percorso, la stringa di query ecc. Sono crittografati.

Nota per le richieste GET l'utente sarà comunque in grado di tagliare e incollare l'URL dalla barra degli indirizzi e probabilmente non vorrai inserire informazioni riservate che possono essere visualizzate da chiunque guardi lo schermo.

Una terza parte che sta monitorando il traffico può anche essere in grado di determinare la pagina visitata esaminando il traffico e confrontandolo con il traffico di un altro utente durante la visita del sito. Ad esempio, se su un sito fossero presenti solo 2 pagine, una molto più grande dell'altra, il confronto tra le dimensioni del trasferimento di dati indica la pagina visitata. Ci sono modi in cui questo potrebbe essere nascosto alla terza parte ma non sono normali comportamenti del server o del browser. Vedi ad esempio questo documento di SciRate, https://scirate.com/arxiv/1403.0297 .

In generale, altre risposte sono corrette, praticamente sebbene questo documento mostri che le pagine visitate (ovvero l'URL) possono essere determinate in modo abbastanza efficace.

Non puoi sempre contare sulla privacy dell'URL completo. Ad esempio, come talvolta accade nelle reti aziendali, i dispositivi forniti come il PC aziendale sono configurati con un certificato radice "attendibile" aggiuntivo in modo che il browser possa tranquillamente fidarsi di un'ispezione proxy (man-in-the-middle) del traffico https . Ciò significa che l'URL completo è esposto per l'ispezione. Questo di solito viene salvato in un registro.

Inoltre, anche le tue password sono esposte e probabilmente registrate e questo è un altro motivo per usare una volta le password o per cambiarle frequentemente.

Infine, anche il contenuto della richiesta e della risposta viene esposto se non altrimenti crittografato.

Un esempio di impostazione dell'ispezione è descritto da Checkpoint qui . In questo modo è anche possibile creare un "internet café" vecchio stile utilizzando i PC in dotazione.

Collegamento alla mia risposta su una domanda duplicata . Non solo l'URL è disponibile nella cronologia dei browser, ma registra anche il lato server, ma viene anche inviato come intestazione del referente HTTP che, se si utilizzano contenuti di terze parti, espone l'URL a fonti indipendenti dal proprio controllo.

Ora è il 2019 ed è stato rilasciato TLS v1.3. Secondo Cloudflare, SNI può essere crittografato grazie a TLS v1.3. Quindi, mi sono detto alla grande! vediamo come appare nei pacchetti TCP di cloudflare.com Quindi, ho preso un pacchetto di handshake "client hello" da una risposta del server cloudflare usando Google Chrome come browser e wirehark come sniffer di pacchetti. Riesco ancora a leggere il nome del server in testo semplice all'interno del pacchetto Hello client.

Quindi, fai attenzione a ciò che puoi leggere perché questa non è ancora una connessione anonima. Un middleware tra il client e il server potrebbe registrare tutti i domini richiesti da un client.

Quindi sembra che la crittografia dell'SNI richieda implementazioni aggiuntive per funzionare con TLSv1.3

Il seguente articolo descrive la crittografia dell'SNI fornita da Cloudflare come parte di TLSv1.3. Tuttavia, tutti gli URL HTTP di cloudflare.com sono in chiaro all'interno del pacchetto TCP in TLS v1.3

[ https://blog.cloudflare.com/encrypted-sni/[[3]

Sebbene ci siano già alcune buone risposte, la maggior parte di esse si sta concentrando sulla navigazione del browser. Sto scrivendo questo nel 2018 e probabilmente qualcuno vuole sapere sulla sicurezza delle app mobili.

Per le app mobili , se controlli entrambe le estremità dell'applicazione (server e app), purché utilizzi HTTPS , sei sicuro . iOS o Android verificheranno il certificato e mitigheranno i possibili attacchi MiM (sarebbe l'unico punto debole in tutto questo). È possibile inviare dati sensibili tramite connessioni HTTPS che verranno crittografati durante il trasporto . Solo la tua app e il server conosceranno tutti i parametri inviati tramite https.

L'unico "forse" qui sarebbe se il client o il server sono infettati da software dannoso in grado di vedere i dati prima che vengano racchiusi in https. Ma se qualcuno è infetto da questo tipo di software, avrà accesso ai dati, indipendentemente da ciò che usi per trasportarlo.

Inoltre, se stai creando un'API ReSTful, i problemi di perdita del browser e di riferimento HTTP sono per lo più mitigati poiché il client potrebbe non essere un browser e potresti non avere collegamenti a clic delle persone.

In questo caso, consiglierei il login oAuth2 per ottenere un token al portatore. Nel qual caso gli unici dati sensibili sarebbero le credenziali iniziali ... che probabilmente dovrebbero essere comunque in una richiesta di posta

Sebbene tu abbia già ottime risposte, mi piace molto la spiegazione su questo sito Web: https://https.cio.gov/faq/#what-information-does-https-protect

in breve: l'utilizzo di HTTPS nasconde:

• Metodo HTTP
• parametri di query
• Corpo POST (se presente)
• Richiedi intestazioni (cookie inclusi)
• Codice di stato