Al utilizar Wirehark, podrá averiguar el nombre del host, como lo mencionan otras respuestas, debido a SNI. Además, podrás ver algunas partes de los certificados. Las URL de https que has visto son probablemente las URL de CRL s o OCSP s.
Si alguien puede acceder a sus URL recorriendo su sitio y comparando el tamaño de las páginas devueltas con el tamaño de lo que se devuelve en su página cifrada, podrían hacer suposiciones sobre a qué página llamó su programa. Pero, como quiere poner algunos parámetros en la URL y ocultarlos, este no es un gran vector de ataque en su caso. Si su URL es https://my.server/api?user=scott&password=tiger&highscore=12345
, y su api siempre devuelve páginas entre 1000 y 1010 bytes, el hecho de que se devuelvan 1007 bytes no ayudará a nadie a determinar el usuario o la contraseña o cómo ingresar una puntuación más alta.
HOWEVER
enlace fiddler , charles o mitmproxy redirige su tráfico a ellos mismos, presenta un certificado falso al cliente, descifra el tráfico, regístrelo, vuelva a cifrarlo y envíelo al sitio original.
Si su cliente confía en el almacén de confianza del sistema operativo, el atacante podrá insertar su propio certificado en el almacén de confianza y su cliente no notará nada. Los READMEs de las herramientas mencionadas anteriormente tienen instrucciones de cómo hacer esto.
Por lo tanto, si va a https para evitar el descifrado, deberá verificar si el certificado devuelto por el servidor es correcto antes de enviar su URL. Compruebe cómo fijación de certificados para su sistema operativo / lenguaje de programación, y use las herramientas anteriores para asegurarse de que su cliente detectará un certificado falso y no enviar la URL antes de publicarlo.