URLと暗号化で渡されたHTTP基本認証資格情報

HTTPSおよびHTTP認証の資格情報について質問があります。

HTTP認証でURLを保護するとします。

<Directory /var/www/webcallback>
AuthType Basic
AuthName "Restricted Area"
AuthUserFile /var/www/passwd/passwords
Require user gooduser
</Directory>

次に、HTTPSを介してリモートシステムからそのURLにアクセスし、URLで資格情報を渡します。

https://gooduser:secretpassword@www.example.com/webcallback?foo=bar

ユーザー名とパスワードは自動的にSSL暗号化されますか？GETとPOSTも同じですか？この情報で信頼できる情報源を見つけるのに苦労しています。

ユーザー名とパスワードは自動的にSSL暗号化されますか？GETとPOSTについても同じです

はいはいはい。

SSLが使用されている場合、通信全体（ホスト名のIPがまだキャッシュされていない場合はDNSルックアップ用に保存されます）は暗号化されます。

はい、暗号化されます。

舞台裏で何が起こっているのかを確認するだけで理解できます。

1. ブラウザまたはアプリケーションは最初にURLを分解し、DNSクエリを使用してホストのIPを取得しようとします。つまり、ドメイン（www.example.com）のIPアドレスを見つけるためにDNS要求が行われます。このリクエストで他の情報が送信されることはありません。
2. ブラウザまたはアプリケーションは、DNS要求から受信したIPアドレスを使用してSSL接続を開始します。証明書が交換され、これはトランスポートレベルで行われます。この時点では、アプリケーションレベルの情報は転送されません。基本認証はHTTPの一部であり、HTTPはアプリケーションレベルのプロトコルであることを忘れないでください。トランスポート層のタスクではありません。
3. SSL接続を確立した後、必要なデータがサーバーに渡されます。つまり、パスまたはURL、パラメーター、および基本認証のユーザー名とパスワード。

必ずしもそうではありません。暗号化はネットワーク上で行われますが、ログはプレーンテキストで表示されます