HTTPS 是否加密元数据？

TLS 只会加密有效负载。值得注意的是，以下元数据仍然清晰可用：

• 第 3/4 层信息，特别是连接的源和目标 IP/端口：
  这可用于获取有关客户端的信息，即客户端来自的网络。TTL、初始序列号、初始窗口大小等附加信息可用于被动指纹检测操作系统。而目标IP可以用来获取服务器的信息，即客户端正在访问什么。
• 使用 SNI 时的目标域名：
  所有现代 TLS 堆栈都使用 SNI，至少用于 HTTPS。这可用于进一步确定客户端连接的目标。
• 客户端提供的密码套件和扩展：
  这可用于对客户端进行指纹识别，即检测使用了哪种浏览器以及可能使用的操作系统版本。
• 服务器证书：
  这增加了有关连接目标的更多信息，并且即使不使用 SNI（如在非 HTTPTTPS 连接中），也经常提供确切的域名。
• 可选的客户端证书：
  因为这可能用于身份验证，所以它添加了一些关于客户端的有用信息。
• 传输数据的大小和时间：
  虽然在查看加密数据时可能无法获得确切的大小，但可以确定大致大小。连同传输的时间和方向（即流量），这可用于找出可能使用的协议（HTTP、SMTP、VPN...），因为不同的协议具有不同的流量特性。如果仅在具有不受限制访问的目标站点上使用 HTTPS，它甚至可以缩小客户端访问过的站点上哪些公共可用页面的范围。

域以明文形式传输，首先由客户端在 SNI 中，然后由服务器在证书中。浏览器选项卡的标题已加密。

IP 地址、域和时间都是任何有权访问您的电信公司或 ISP 的人都可以使用的元数据。美国国家安全局局长迈克尔·海登将军说：“我们根据元数据杀人”。

在 TLS 1.3 中，它今天部署在 beta 浏览器的功能标志后面，可能会完成标准化过程并在六个月内默认启用，它也会加密域名。但这仍然会留下两个 IP 地址和时间。

请求的 IP 和域（由于 SNI）是可见的，但其余部分是加密的。