Os parâmetros da querystring são seguros em HTTPS (HTTP + SSL)?

Os parâmetros da querystring são criptografados em HTTPS quando enviados com uma solicitação?

   

Sim. A querystring também é criptografada com SSL. No entanto, como este artigo mostra, não é uma boa ideia colocar informações confidenciais no URL. Por exemplo:

As URLs são armazenadas nos registros do servidor da web – geralmente, a URL inteira de cada solicitação é armazenada em um log do servidor. Isso significa que quaisquer dados confidenciais no URL (por exemplo, uma senha) estão sendo salvos em texto não criptografado no servidor

lembre-se, SSL / TLS opera na Camada de Transporte, então toda a criptografia acontece sob o material HTTP da camada de aplicação.

http://en.wikipedia.org/wiki/File:IP_stack_connections.svg

esse é o longo caminho de dizer “sim!”

Toda a transmissão, incluindo a string de consulta, a URL inteira e até mesmo o tipo de solicitação (GET, POST, etc.) é criptografada ao usar HTTPS.

Eu não concordo com o conselho dado aqui – mesmo a referência para a resposta aceita conclui:

É claro que você pode usar parâmetros de string de consulta com HTTPS, mas não usá-los para qualquer coisa que possa apresentar um problema de segurança. Por exemplo, você pode usá-los com segurança para identificar números de peça ou tipos de exibição como “visão da conta” ou “página de impressão”, mas não usá-los para senhas, números de cartão de crédito ou outras informações que não deveriam estar disponíveis publicamente.

Então, não, eles não estão realmente seguros …!