¿Qué parte de la URL del sitio web es revelada por HTTPS?

Revelado a quien? Obviamente, la URL completa se pasa entre el cliente (navegador) y el servidor (sitio web). De lo contrario, no recibirá el contenido esperado.

Del mismo modo, la dirección IP de origen y de destino se debe transmitir de forma clara para que sus paquetes (entrantes y salientes) se puedan enrutar a las ubicaciones adecuadas en la red. Por lo tanto, un posible espía sabe (en general) con QUIÉN se está comunicando, incluso si no sabe a qué documentos accedió o su contenido. Si su empleador ve que está accediendo al host en la dirección IP 64.210.135.134, no es irrazonable que él asuma que está viendo pornografía en el trabajo. Del mismo modo, si el espía ve que está accediendo al host al 192.230.74.213, acaba de descubrir que utiliza los servicios de andoverbankohio.com.

Para el promedio de Joe que observa la actividad de su red utilizando un sniffer de paquetes, la parte posterior de la URL (“hola1” en su ejemplo) está encriptada, al igual que la respuesta del servidor.

Todo en la URL pasa en texto sin formato. El contenido de la página web está encriptado.

Si los datos que completa en un formulario o en un cuadro de entrada de texto están encriptados depende de si la página web utiliza el método “GET” o “POST” para enviar los datos de vuelta al servidor.

En general, solo se envían mensajes cortos no sensibles a la seguridad con “GET” … pero quién sabe … ¡no todos los programadores web son buenos en su trabajo!

Una vez que instale el Certificado SSL en su servidor, se revelará toda la información “antes e incluyendo (.com)” y después (.com).

HTTPS no es solo para su parte anterior a .com, se instalará en su servidor y convierte HTTPS en cada página y URL de archivo de su servidor.

Si su pregunta es si alguien está espiando su tráfico y cuánto puede ver, entonces nada después de punto com. No hello1, ninguna parte de consulta tampoco. Y tampoco nada en el contenido tampoco. Lo único que verían es que estás hablando con Google.

En otras palabras, solo verán con qué dominio está hablando, lo que obtendrían al observar la dirección IP de destino de su tráfico IP. La carga útil de IP está encriptada, que incluye la URL completa, excluyendo la parte del dominio. El cuerpo también está encriptado si es un POST / PUT.

Con las URL, toda la información se revela si es http o https. Es por eso que debe usar métodos de publicación que incluyan los datos en el cuerpo. Los datos en la URL deben ser datos insignificantes, es decir, datos que no requieren privacidad.

—EDITAR— He sido corregido. La cadena de consulta está encriptada. Sin embargo, la cadena de consulta completa muestra los registros de solicitud del servidor, lo que también podría ser un problema de seguridad.

Solo se expone el nombre de host. El resto de la URL se transmite al servidor encriptado.

En su ejemplo, “www.google.com” está expuesto y “/ hello1” está encriptado.