Per completare quanto detto da @Lucas, quando ti connetti a https://www.facebook.com/
, il nome www.facebook.com
sarà reso visibile al tuo ISP in diversi modi:
- La tua macchina prima chiederà la risoluzione DNS di
www.facebook.com
; la richiesta verrà generalmente inviata ai server DNS del tuo ISP e, in ogni caso, non sarà protetta dai suoi occhi.
- Il messaggio
ClientHello
inviato dal tuo browser per l'avvio dell'handshake SSL / TLS conterrà il nome www.facebook.com
in lettere semplici (è l'estensione Nome server , implementata da tutti i SO e i browser recenti).
- Durante l'handshake, il server invierà il suo certificato, sempre come testo in chiaro, e il certificato contiene il nome del server o abbastanza vicino (nel caso specifico di
www.facebook.com
, contiene *.facebook.com
). Questo è previsto, poiché il client (il tuo browser) lo impone in questo modo, in applicazione di RFC 2818 .
Tutto l'handshake SSL viene creato per primo e poi, solo allora, inizia lo stesso HTTP. Pertanto, la richiesta HTTP, che contiene il percorso di destinazione ("/ FOOBAR"), sarà protetta dalla crittografia fornita dal tunnel SSL. Nota che la crittografia protegge i dati ma non la lunghezza : il tuo ISP potrebbe probabilmente capire che il tuo percorso target è composto da sette caratteri (richiederebbe alcune altre richieste dal tuo browser e alcuni "indovinati", perché l'intera richiesta HTTP è crittografata, quindi l'ISP dovrebbe stimare la lunghezza totale delle altre intestazioni HTTP).