伺服器名稱指示

簡介

伺服器名稱指示（英語：Server Name Indication，簡稱SNI）是一個擴展的TLS計算機聯網協定，在該協定下，在握手過程開始時客戶端告訴它正在連線的伺服器要連線的主機名稱。這允許伺服器在相同的IP位址和TCP連線埠號上使用多個不同的TLS證書，並且因此允許在相同的IP位址上提供多個安全（HTTPS）網站（或其他任何基於TLS的服務），而不需要所有這些站點使用相同的TLS證書。它與HTTP/1.1基於名稱的虛擬主機的概念相同，但是用於HTTPS。

為了使SNI協定起作用，絕大多數訪問者必須使用實現它的Web瀏覽器。使用未實現SNI瀏覽器的用戶將被提供默認證書，因此很可能會收到主機名和TLS證書使用者名稱不匹配的警告。常見於CDN服務，CDN往往會在一個節點部署多個不同的TLS證書。

問題的背景

當進行TLS連線時，客戶端從Web伺服器請求數字證書。伺服器一旦傳送證書，客戶端就會檢查這個證書，並將其嘗試連線的名稱與證書中包含的名稱進行對比。如果發生匹配，則連線正常進行。如果沒有找到匹配，則可能會向用戶警告該差異，並且可能會中止連線，因為該失配可能表明存在中間人攻擊。不過，某些應用程式允許用戶繞過警告繼續進行連線，由用戶承擔信任證書以及連線的責任。

一個證書覆蓋多個主機名是可以做到的。X.509v3規範引入了subjectAltName欄位，該欄位允許一個證書指定多個域名，並在通用名和subjectAltName欄位中使用通配符。

然而，由於缺少所有名稱的完整列表，可能很難甚至不可能獲得涵蓋伺服器將負責的所有名稱的單個證書。負責多個主機名的伺服器可能需要為每個名稱（或一組名稱）提供不同的證書。自2005年以來，CAcert已經在虛擬伺服器上運行了TLS的不同用法的實驗。大多數實驗是不理想和不切實際的。例如，可以使用subjectAltName來包含單個證書中由一個人控制的多個域名。每當域名列表更改時，必須重新發布此類“統一通信證書”。

基於名稱的虛擬主機允許多個DNS主機名由同一IP位址上的單個伺服器（通常為Web伺服器）託管。為了實現這一點，伺服器使用客戶端提供的主機名作為協定的一部分（對於HTTP，名稱顯示在主機頭中）。但是，當使用HTTPS時，TLS握手發生在伺服器看到任何HTTP頭之前。因此，伺服器不可能使用HTTP主機頭中的信息來決定呈現哪個證書，並且因此只有由同一證書覆蓋的名稱才能由同一IP位址提供。

實際上，這意味著對於安全瀏覽來說，HTTPS伺服器只能是每個IP位址服務一個域名（或一組域名）。為每個站點分配單獨的IP位址會增加託管成本，因為對IP位址的請求必須為區域網際網路註冊機構提供證據而且現在IPv4地址已用盡。其結果是，許多網站在IPv4上使用安全通信實際上都受到了限制。IPv6地址空間未用完，因此使用IPv6提供的網站不受此問題的影響。

伺服器名稱指示

基本介紹

簡介

問題的背景

SNI如何解決此問題

實現

安全性

域前置

加密伺服器名稱指示（ESNI）

相關詞條

熱門詞條