¿Los encabezados HTTPS están encriptados?

Los encabezados están completamente encriptados. La única información que pasa por la red 'in the clear' está relacionada con la configuración SSL y el intercambio de claves D/H. Este intercambio está cuidadosamente diseñado para no proporcionar ninguna información útil a los espías, y una vez que ha tenido lugar, todos los datos se cifran.

HTTP la versión 1.1 agregó un método HTTP especial, CONNECT - destinado a crear el túnel SSL, incluyendo el protocolo necesario handshake y la configuración criptográfica.
Las solicitudes regulares a partir de entonces se envían envueltas en el túnel SSL, encabezados y cuerpo incluido.

Nueva respuesta a la vieja pregunta, lo siento. Pensé en añadir mi $02

El OP preguntó si las cabeceras estaban cifradas.

Están: en tránsito.

NO están: cuando no están en tránsito.

Por lo tanto, la URL de su navegador (y el título, en algunos casos) puede mostrar la cadena de consultas (que generalmente contiene los detalles más confidenciales) y algunos detalles en el encabezado; el navegador conoce cierta información del encabezado( tipo de contenido, unicode, etc.); y el historial del navegador, la administración de contraseñas, favoritos / marcadores, y las páginas en caché contendrán la cadena de consultas. Los registros del servidor en el extremo remoto también pueden contener querystring, así como algunos detalles de contenido.

Además, la URL no siempre es segura: el dominio, el protocolo y el puerto son visibles; de lo contrario, los enrutadores no saben dónde enviar sus solicitudes.

Además, si tiene un proxy HTTP, el servidor proxy conoce la dirección, generalmente no conoce la cadena de consultas completa.

Así que si los datos se están moviendo, es generalmente protegida. Si no está en tránsito, no está encriptado.

No para nit pick, pero los datos al final también se descifran, y se pueden analizar, leer, guardar, reenviar o descartar a voluntad. Y, el malware en cualquiera de los extremos puede tomar instantáneas de datos que ingresan (o salen) el protocolo SSL, como Javascript (malo) dentro de una página dentro de HTTPS, que puede realizar subrepticiamente llamadas http (o https) a sitios web de registro (ya que el acceso al disco duro local a menudo está restringido y no es útil).

También, las cookies tampoco están cifradas bajo el protocolo HTTPS. Los desarrolladores que deseen almacenar datos confidenciales en cookies (o en cualquier otro lugar) deben usar su propio mecanismo de cifrado.

En cuanto a la caché, la mayoría de los navegadores modernos no cachean páginas HTTPS, pero ese hecho no está definido por el protocolo HTTPS, depende completamente del desarrollador de un navegador para asegurarse de no almacenar en caché las páginas recibidas a través de HTTPS.

Así que si te preocupa oler paquetes, probablemente estés Vale. Pero si te preocupa el malware o alguien que hurgue en tu historial, marcadores, cookies o caché, todavía no estás fuera del agua.

Con SSL el cifrado está en el nivel de transporte, por lo que se lleva a cabo antes de que se envíe una solicitud.

Así que todo en la solicitud está encriptado.

HTTPS (HTTP sobre SSL) envía todo el contenido HTTP a través de un túnel SSL, por lo que el contenido HTTP y los encabezados también están encriptados.

Sí, los encabezados están encriptados. Está escrito aquí.

Todo en el mensaje HTTPS está encriptado, incluyendo los encabezados y la carga de solicitud/respuesta.

La URL también está cifrada, realmente solo tiene la IP, el Puerto y si SNI, el nombre de host que no están cifrados.