Nouvelle réponse à une vieille question, désolé. Je pensais ajouter mon 0,02 $
Le PO a demandé si les en-têtes étaient cryptés.
Ils sont: en transit.
Ils ne sont PAS: lorsqu'ils ne sont pas en transit.
Ainsi, l'URL de votre navigateur (et le titre, dans certains cas) peut afficher la chaîne de requête (qui contient généralement les détails les plus sensibles) et certains détails dans l'en-tête; le navigateur connaît certaines informations d'en-tête (type de contenu, unicode, etc.); et l'historique du navigateur, la gestion des mots de passe, les favoris / signets et les pages en cache contiendront tous la chaîne de requête. Les journaux du serveur sur l'extrémité distante peuvent également contenir une chaîne de requête ainsi que certains détails de contenu.
De plus, l'URL n'est pas toujours sécurisée: le domaine, le protocole et le port sont visibles - sinon les routeurs ne savent pas où envoyer vos demandes.
De plus, si vous avez un proxy HTTP, le serveur proxy connaît l'adresse, généralement il ne connaît pas la chaîne de requête complète.
Donc, si les données sont en mouvement, elles sont généralement protégées. S'il n'est pas en transit, il n'est pas crypté.
Pas à la légère, mais les données à la fin sont également déchiffrées et peuvent être analysées, lues, enregistrées, transmises ou supprimées à volonté. Et les logiciels malveillants à chaque extrémité peuvent prendre des instantanés de données entrant (ou sortant) du protocole SSL - comme (mauvais) Javascript dans une page à l'intérieur de HTTPS qui peut subrepticement faire des appels http (ou https) aux sites Web de journalisation (depuis l'accès au disque dur local) est souvent restreint et inutile).
De plus, les cookies ne sont pas non plus cryptés sous le protocole HTTPS. Les développeurs souhaitant stocker des données sensibles dans des cookies (ou ailleurs d'ailleurs) doivent utiliser leur propre mécanisme de cryptage.
En ce qui concerne le cache, la plupart des navigateurs modernes ne mettent pas en cache les pages HTTPS, mais ce fait n'est pas défini par le protocole HTTPS, il dépend entièrement du développeur d'un navigateur pour être sûr de ne pas mettre en cache les pages reçues via HTTPS.
Donc, si vous craignez de renifler des paquets, vous êtes probablement d'accord. Mais si vous vous inquiétez des logiciels malveillants ou de quelqu'un qui fouille dans votre historique, vos signets, vos cookies ou votre cache, vous n'êtes pas encore sorti de l'eau.