SSL-Handshake

Hallo,

ich habe eine URL wie z.B.

https://meine.domain.tld/folder/scriptname.php?param=value

Kann ich sicher sein, dass "folder/scriptname.php?param=value" immer verschlüsselt übertragen wird?

Laut RFC 2818 / 2.1 "sollte" ja der erste GET-Request erst gesendet werden nachdem die Verbindung über TSL steht. Gibt es evt. Fälle in der Praxis bei denen Browser oder Applikationen die komplette URL unverschlüsselt rausschicken (zur Namensauflösung oder wegen was auch immer)?

Habe mal ein wenig mit Firefox gespielt, hier konnte ich in den Protokollen (Wireshark) nicht feststellen, dass die Daten unverschlüsselt übertragen wurden.

Ist mein Verständnis vom Ablauf generell richtig (stark vereinfacht dargestellt)?

• URL wird in Browser eingetragen
• Browser extrahiert Domain (meine.domain.tld)
• Falls zugehörige IP nicht im Cache wird diese über den DNS-Dienst des OS angefordert (gibt es hier evt. Programmie die nicht nur die reine Domain sondern die ganze URL an das OS respektive DNS-Dienst weiterreichen?)
• Kommunikation zwischen Server (auf Port 443) und Browser wird aufgebaut, TSL Handshake wird durchgeführt
• Falls der Handshake erfolgreich war, folgt über die aufgebaute TSL-Verschlüsselung die erste GET-Anfrage an den Server (basierend auf dem HTTP-Protokoll), erst jetzt wird das
  "folder/scriptname.php?param=value" erstmalig übertragen.

Und ja, ich habe die Suche verwenet, außer http://forum.webhostlist.de/forum/w...5455-wie-wird-eine-https-url-uebertragen.html
nichts gefunden, und der Beitrag ist alt und beantwortet die Frage auch nicht eindeutig...

Hat jemand eine Dokumentation wo das Verfahren genauer beschrieben ist?

Danke für Eure Hilfe!

 

AW: SSL-Handshake

Hi!

Du siehst das schon richtig.

Siehe auch hier: http://www.faqs.org/rfcs/rfc2818.html

Grüße
Stephan Winter

 

AW: SSL-Handshake

Hallo,

danke für das schnelle Feedback mich irritiert nur das "should" in der RFC, wodurch die Initaisierung auf die vorgegebene Methode nicht erzwungen wird.

Aber ich unterstelle jetzt den gängigen Browser, dass diese das wie angegeben implementiert haben und meine Daten verschlüsselt übertragen werden

Thx so far!

 

AW: SSL-Handshake

Hi

Dazu dann RFC 2119:
3. SHOULD This word, or the adjective "RECOMMENDED", mean that there
may exist valid reasons in particular circumstances to ignore a
particular item, but the full implications must be understood and
carefully weighed before choosing a different course.
Also unter bestimmten, wichtigen Umständen kann davon abgewichen werden.

 

AW: SSL-Handshake

1. An einen DNS wird niemals eine ganze URL geschickt. Damit könnte der DNS-Server nicht umgehen.
2. HTTPS Verbindungen werden - wie von Dir beschrieben - erstmal aufgebaut, dann wird der HTTP-Header übertragen (also das GET mit der URL).

Genau genommen ist es also so wie von Dir gewünscht, dass die URL ***übers Netz*** nur verschlüsselt wandert. Auspassen, dass es keinen Redirect durch einen Link auf http:// gibt.