Citando il HTTPS RFC:
Quando l'handshake TLS è terminato. Il client può quindi avviare la prima richiesta HTTP . Tutti i dati HTTP DEVONO essere inviati come "applicazione dati TLS".
In sostanza, il canale SSL/TLS protetto viene stabilito per primo. Solo allora viene utilizzato il protocollo HTTP. Questo proteggerà tutto il traffico HTTP con SSL, comprese le intestazioni HTTP (che contengono l'URL e i cookie).
Ciò che potrebbe essere visibile nell'handshake è il nome host stesso, poiché è contenuto nel certificato del server che sarà visibile in chiaro nell'handshake (ed è spesso facile indovinare il nome host guardando all'indirizzo IP di destinazione Comunque).
Quando si utilizza l'indicazione del nome del server, il nome dell'host richiesto deve essere visibile anche nell'estensione server_name
nel messaggio ClientHello
. In caso contrario, potrebbe esserci un po 'di ambiguità (per chi intercetta) per indovinare il nome host dal certificato se il certificato è valido per più nomi host (ad esempio più oggetti Alt. Nomi o caratteri jolly). In questo caso, l'intercettazione della richiesta DNS da parte del client potrebbe dare un indizio all'attaccante.
Leggere le risposte di altre persone e commenti, alcuni citano problemi su Referer
(perso uno r
nella specifica) e registri.
Uno dei restanti potenziali punti deboli è come si dà quel collegamento per l'utente. Se è incorporato in una pagina Web pubblicata su un semplice HTTP, chiunque sia in grado di leggere quella pagina sarà in grado di vederlo. Dovresti pubblicare anche questa pagina su HTTPS. Se invece invii quel collegamento via e-mail, direi che tutte le scommesse sono disattivate, poiché i server di posta raramente crittografano le connessioni tra loro e gli utenti spesso accedono spesso al loro account e-mail senza alcuna crittografia.
EDIT:
Inoltre, se si sta utilizzando l'autenticazione client certificato, il certificato client saranno visibili se viene negoziato durante l'handshake iniziale. Ciò potrebbe far trapelare il nome dell'utente che accede al sito Web (spesso i DN oggetto contengono il nome utente). Il certificato client non sarà visibile se viene inviato durante un handshake rinegoziato.
Giusto per chiarire (vedendo alcune altre risposte). Il tuo problema riguarda le intercettazioni nel mezzo, giusto? Sei preoccupato per il modo in cui memorizzi * i tuoi log * (presumibilmente stai utilizzando questo server)? – Bruno
possibile duplicato di [Sono crittografati gli URL https?] (Http://stackoverflow.com/questions/499591/are-https-urls-encrypted) – Gumbo