https の headers などの情報はどこまで暗号化されるのか?

https の headers は暗号化される。

  • URL
  • query parameters
  • cookies

も暗号化される。

ただし、IPアドレス、ドメイン名は暗号化されない。

Because HTTPS piggybacks HTTP entirely on top of TLS, the entirety of the underlying HTTP protocol can be encrypted. This includes the request's URL, query parameters, headers, and cookies (which often contain identifying information about the user). However, because website addresses and port numbers are necessarily part of the underlying TCP/IP protocols, HTTPS cannot protect their disclosure. In practice this means that even on a correctly configured web server, eavesdroppers can infer the IP address and port number of the web server, and sometimes even the domain name (e.g. www.example.org, but not the rest of the URL) that a user is communicating with, along with the amount of data transferred and the duration of the communication, though not the content of the communication.[4]

HTTPS - Wikipedia

情報源が Wikipedia だけでは少し不安なので、アメリカの情報系機関のサイトでも同じように記載されているのを確認しました。

The HTTPS-Only Standard - Introduction to HTTPS

クエリパラメータも暗号化されるが、ブラウザで複合化された後にトラッキングツールなどに送信される可能性があるので機密情報では使用しない方が無難。

この記事を書いた人

@takasqr アプリケーション開発が大好きなエンジニア。Vue、Swift、Electrom などでアプリを作って公開している。AWS や Firebase などのクラウドサービスも好き。