HTTPS crittografa i metadati?
Non necessariamente ciò che è presente nella pagina, o annunci o qualcosa del genere, ma è possibile che qualcun altro conosca i metadati, cioè quale sia il nome della scheda o solo il nome del sito web?
Does HTTPS encrypt metadata?
TLS crittograferà solo il carico utile. In particolare i seguenti metadati sono ancora disponibili in chiaro:
Il dominio viene trasmesso in chiaro, prima dal client in SNI e poi dal server nel certificato. Il titolo della scheda del browser è crittografato.
L'indirizzo IP, il dominio e l'ora sono tutti i metadati disponibili per chiunque abbia accesso alla tua telco o al tuo ISP. Il generale Michael Hayden, direttore della NSA, ha dichiarato: "Uccidiamo le persone in base ai metadati".
In TLS 1.3, che viene implementato oggi dietro il flag di funzionalità nei browser beta e potrebbe essere completato il processo di standardizzazione e abilitato per impostazione predefinita in sei mesi, crittograferà anche il nome del dominio. Ma questo lascerà ancora due indirizzi IP e il tempo.
L'IP e il dominio richiesti (a causa di SNI) sono visibili, ma il resto è crittografato.
Leggi altre domande sui tag http encryption web-browser tls