Pregunta sobre HTTPS [duplicado]

Su ISP no verá el / FOOBAR. Esto se debe a que solicitará facebook.com o www.facebook.com, que es una característica de DNS. Esta parte no está cifrada y solo sirve para recuperar la IP del servidor web para el nombre de dominio dado. Cuando su navegador solicite este nombre de dominio, no incluirá / FOOBAR, ya que no forma parte del nombre de dominio completo.

Para completar lo que dijo @Lucas, cuando se conecte a https://www.facebook.com/ , el nombre www.facebook.com se hará visible para su ISP de varias maneras:

• Su máquina primero solicitará la resolución de DNS de www.facebook.com ; Por lo general, la solicitud se enviará a los servidores DNS de su ISP y, en cualquier caso, se desplazará sin protección ante sus ojos.
• El mensaje ClientHello que su navegador envía para iniciar el reconocimiento SSL / TLS contendrá el nombre www.facebook.com en letras simples (que es la extensión Server Name Indation , implementada por todos los sistemas operativos y navegadores recientes).
• Durante el protocolo de enlace, el servidor enviará su certificado, aún como texto claro, y el certificado contiene el nombre del servidor, o lo suficientemente cerca (en el caso específico de www.facebook.com , contiene *.facebook.com ). Esto se espera, ya que el cliente (su navegador) lo ordena de esa manera, en la aplicación de RFC 2818 .

Todo el protocolo de enlace SSL se hace primero, y luego, solo entonces, comienza el propio HTTP. Por lo tanto, la solicitud HTTP, que contiene la ruta de destino ("/ FOOBAR") estará protegida por el cifrado proporcionado por el túnel SSL. Tenga en cuenta que el cifrado protege los datos pero no la longitud : su ISP probablemente podría descubrir que su ruta de destino consta de siete caracteres (requeriría observar algunas otras solicitudes de su navegador, y algunas "adivinanzas educadas", porque toda la solicitud HTTP está cifrada, por lo que el ISP tendría que estimar la longitud total de los otros encabezados HTTP).