Domanda su HTTPS [duplicato]

Il tuo ISP non vedrà il / FOOBAR. Questo perché richiedi facebook.com o www.facebook.com, che è una funzionalità di DNS. Questa parte non è crittografata e serve solo a ripristinare l'IP del server web per il nome di dominio specificato. Quando il tuo browser richiede questo nome di dominio non includerà / FOOBAR in quanto non fa parte del nome di dominio completo.

Per completare quanto detto da @Lucas, quando ti connetti a https://www.facebook.com/ , il nome www.facebook.com sarà reso visibile al tuo ISP in diversi modi:

• La tua macchina prima chiederà la risoluzione DNS di www.facebook.com ; la richiesta verrà generalmente inviata ai server DNS del tuo ISP e, in ogni caso, non sarà protetta dai suoi occhi.
• Il messaggio ClientHello inviato dal tuo browser per l'avvio dell'handshake SSL / TLS conterrà il nome www.facebook.com in lettere semplici (è l'estensione Nome server , implementata da tutti i SO e i browser recenti).
• Durante l'handshake, il server invierà il suo certificato, sempre come testo in chiaro, e il certificato contiene il nome del server o abbastanza vicino (nel caso specifico di www.facebook.com , contiene *.facebook.com ). Questo è previsto, poiché il client (il tuo browser) lo impone in questo modo, in applicazione di RFC 2818 .

Tutto l'handshake SSL viene creato per primo e poi, solo allora, inizia lo stesso HTTP. Pertanto, la richiesta HTTP, che contiene il percorso di destinazione ("/ FOOBAR"), sarà protetta dalla crittografia fornita dal tunnel SSL. Nota che la crittografia protegge i dati ma non la lunghezza : il tuo ISP potrebbe probabilmente capire che il tuo percorso target è composto da sette caratteri (richiederebbe alcune altre richieste dal tuo browser e alcuni "indovinati", perché l'intera richiesta HTTP è crittografata, quindi l'ISP dovrebbe stimare la lunghezza totale delle altre intestazioni HTTP).