回答:
ロット全体が暗号化されます† -すべてのヘッダー。そのため、vhostsのSSLはあまり機能しません。ホストヘッダーが暗号化されているため、専用のIPアドレスが必要です。
†サーバー名識別(SNI)標準は、TLSを使用している場合、ホスト名が暗号化されない可能性があることを意味します。また、SNIを使用しているかどうかにかかわらず、TCPおよびIPヘッダーは暗号化されません。(そうであった場合、パケットはルーティングできません。)
古い質問に対する新しい答え、申し訳ありません。$ .02を追加すると思いました
OPは、ヘッダーが暗号化されているかどうかを尋ねました。
輸送中です。
それらはそうではありません:輸送中ではありません。
そのため、ブラウザーのURL(および場合によってはタイトル)は、クエリ文字列(通常、最も機密性の高い詳細を含む)とヘッダーの詳細を表示できます。ブラウザーはいくつかのヘッダー情報(コンテンツタイプ、Unicodeなど)を知っています。ブラウザの履歴、パスワード管理、お気に入り/ブックマーク、およびキャッシュされたページにはすべてクエリ文字列が含まれます。リモートエンドのサーバーログには、クエリ文字列やコンテンツの詳細も含まれます。
また、URLは常に安全であるとは限りません。ドメイン、プロトコル、ポートが表示されます-そうでない場合、ルーターはリクエストの送信先がわかりません。
また、HTTPプロキシがある場合、プロキシサーバーはアドレスを知っています。通常、完全なクエリ文字列は知りません。
したがって、データが移動している場合、それは一般的に保護されています。転送中でなければ、暗号化されません。
ピックするだけではなく、最後のデータも復号化され、自由に解析、読み取り、保存、転送、または破棄できます。そして、どちらかの端のマルウェアは、SSLプロトコルに入る(または出る)データのスナップショットをとることができます-HTTPS内のページ内の(悪い)Javascriptなどが、ローカルのハードドライブにアクセスしたために、不正にログWebサイトにhttp(またはhttps)呼び出しを行うことができます多くの場合、制限があり有用ではありません)。
また、CookieもHTTPSプロトコルで暗号化されません。機密データをCookie(またはそのほかの場所)に保存する開発者は、独自の暗号化メカニズムを使用する必要があります。
キャッシュに関しては、ほとんどの最新のブラウザーはHTTPSページをキャッシュしませんが、その事実はHTTPSプロトコルで定義されていません。HTTPS経由で受信したページをキャッシュしないようにすることは、ブラウザーの開発者に完全に依存しています。
したがって、パケットスニッフィングが心配な場合は、おそらく大丈夫でしょう。しかし、マルウェアや誰かが履歴、ブックマーク、Cookie、またはキャッシュを突っ込んでいることを心配している場合は、まだ水に浸っていません。
HTTPバージョン1.1では、特別なHTTPメソッドCONNECTが追加されました。これは、必要なプロトコルハンドシェイクと暗号化設定を含む、SSLトンネルを作成するためのものです。
その後の通常の要求はすべて、SSLトンネルにラップされて送信され、ヘッダーと本文が含まれます。
SSLでは、暗号化はトランスポートレベルで行われるため、リクエストが送信される前に行われます。
したがって、リクエストのすべてが暗号化されます。
URLも暗号化されています。実際に使用できるのは、IP、ポート、そしてSNIの場合は暗号化されていないホスト名のみです。