Solo los puntos finales TLS 1 pueden leer la URL completa porque HTTPS proporciona cifrado de extremo a extremo.
HTTPS envuelve el protocolo HTTP completo, incluida la línea de solicitud, el cuerpo de solicitud / respuesta y todos los encabezados. La URL de solicitud es solo una parte de HTTP que se encripta junto con todos los demás componentes. Si cualquiera de las partes pudiera leer la URL, naturalmente también tendría acceso al tráfico HTTP completo.
Para que quede claro, todavía hay muchas formas en que la URL puede revelarse inadvertidamente:
-
Al alejarse de un sitio haciendo clic en un enlace, su navegador enviará de forma predeterminada un encabezado Referer
que contiene la URL anterior, que, por lo tanto, se divulga al sitio que está visitando.
-
Los complementos del navegador pueden enviar las URL visitadas en algún lugar para análisis o para venderlos.
-
Los productos de seguridad o los firewalls corporativos que realizan una intercepción HTTPS "legítima" (lo que implica que usted instaló activamente y confió en su certificado raíz) podrían leer su tráfico HTTP y, por lo tanto, conocer la URL.
-
El host del sitio de destino (pero no la URL completa) se divulgaría de manera rutinaria a un potencial de interceptación debido a HTTPS SNI y la consulta de DNS del cliente.
Pero suponiendo una configuración correcta sin fugas en el canal lateral, la URL de la solicitud solo pasa por el túnel TLS como todo lo demás que se transmite.
1 En su ejemplo, lo más probable es que sean local device (1.) y host de destino (12.) . Como señala @Bob, la conexión TLS también podría terminar en un equilibrador de carga o en alguna otra forma de proxy.