SSL ohne VerschlüsselungEine kleine Warnung an alle, die SSL, HTTPS und Verschlüsselung in einen Topf werfen. Auch bei einer Webseite die via https angesteuert wird, kann man einzelne Informationen auf dem Weg abgreifen.

Zumindest der Servername wird im Klartext beim TLS-Handshake übertragen, obwohl man eigentlich direkt mit einer IP-Nummer kommunizieren wollte. Dies ist nicht zu verwechseln mit dem Host-Header im HTTP1.1 Standard, diese Zeile wird im SSL verschlüsselt übertragen. Bringt halt nur nichts, weil der Key im Klartext vorher versendet wurde.

Wer sich also schon mal gewundert hat, wie z.B. ein Verbindungsprotokoll erstellt wird, hat hier einen Ansatz.

Schade drum.