Si los HTTP encriptan todos los datos, incluidos los encabezados, ¿cómo saben los enrutadores en cada salto dónde enviar el paquete también?

Cada capa de protocolo tiene sus encabezados. Https codifica el contenido de los datos de la capa de aplicación [nivel 7] (incluidos los encabezados http que contienen sesión, cookies y otros datos)

Pero esta gran cantidad de datos se empaqueta en el paquete TCP [nivel 4], todo esto nuevamente en el paquete IP [nivel 3] y en cada salto de servidor a servidor todo se vuelve a empaquetar en el paquete de enlace [layer2]

Los niveles inferiores pueden tener una protección de datos diferente, pero incluso si falla, el atacante solo puede ver las capas externas: quién está hablando con quién, pero no puede ver los datos https codificados de extremo a extremo.

Vea el modelo de red OSI para más

Lista de protocolos de red (modelo OSI) – Wikipedia

HTTPs cifra los datos en el paquete, pero no la IP de destino y los puertos. Por lo tanto, los datos fluyen en función de la información IP, que se ve en los enrutadores / dispositivos de red en su tabla de enrutamiento, como cualquier otro flujo de paquetes / datos. La mejor analogía es el servicio postal, al que no le importa que el paquete esté sellado o no. Simplemente mira el código postal, luego el estado, luego la calle, luego el número de casa para llegar al buzón correcto. El destinatario luego abre el sobre 🙂

El cifrado / descifrado ocurre solo en los extremos. Es por eso que debe proporcionar el mecanismo de descifrado (certificado más o menos) en el destino para que sepa cómo hacerlo.

Todas las respuestas a continuación son correctas, solo espero que esta sea una versión más corta 🙂

http cifra su carga útil y sus propios encabezados.

Luego pasa esa información a TCP.

En ese punto, TCP hace lo suyo. El encabezado TCP NO está encriptado.

Entonces TCP lo pasa a IP. La IP NO está encriptada.

La inspección de los flujos https aún nos dirá qué IP / puerto es el origen y cuál es el destino (siempre que podamos ver los paquetes SYN / SYN ACK o el puerto del servidor es fácil de distinguir del cliente / puerto superior).

NO hace que su huella de seguridad sea cero.

Y eso es bueno.

Quiero que la NSA pueda saber quién está tratando de hacer cosas malas en Internet. Simplemente no quiero que sepan mis contraseñas, cuentas bancarias y otras cosas que un ciudadano respetuoso de la ley debería tener el derecho de mantener en privado.

Un ciudadano respetuoso de la ley NO necesita el anonimato completo.

Está preguntando sobre el cifrado HTTPS, que es la capa 7 de OSI (capa de aplicación) en relación con la forma en que el enrutador sabe dónde enviar el paquete de datos, es decir, TCP en juego, que es la capa 4 de OSI (capa de red).

Lo que está preguntando es como quejarse del color de la pintura del logotipo de Fedex a un conductor de camión de Fedex. Se quedó allí quieto e inmóvil, temeroso de que si respondiera te hubiera insultado.

La información de origen y destino es transportada por el paquete TCP / IP, no por http / https. El protocolo es la porción de datos de dicho paquete y está encriptado. No los encabezados de un paquete

Porque no cifran todos los datos. Un paquete está compuesto por varios campos, de los cuales varios siempre están a la vista. Solo use el protocolo Google TLS y obtendrá muchos sitios excelentes.

Las direcciones MAC de origen y destino, las direcciones IP de origen y destino (Capa 3) encapsulan los datos HTTP (S). La solicitud HTTP siempre tiene una dirección en cada enrutador

HTTPS se monta sobre los protocolos de red y, por lo tanto, no tiene la oportunidad de cifrar sus encabezados. Solo el contenido está encriptado.

HTTPS cifra todos los datos del protocolo, en este caso los encabezados HTTP. El origen y el destino de los datos (parte de TCP / IP, no HTTPS) no están encriptados.