Server Name Indication (SNI)
Server Name Indication (SNI) ist eine Erweiterung des TLS-Protokolls, wobei schon beim Aufbau einer verschlüsselten Verbindung der Name des geforderten Webservers übertragen wird. Dies ist notwendig, damit der Webserver sofort weiß, welches SSL-Zertifikat er zur Authentifizierung und Verschlüsselung an den Client (z.B. ein Browser) weiterreichen muss.
Vorteile
- Mittels SNI kann auf eine dedizierte IP oder einen Port verzichtet werden.
- Die Technik läuft für den Browser-Benutzer transparent im Hintergrund ab, wenn dem Zertifikat vertraut wird.
Nachteile
- Allgemein gilt: Selbst signierte Zertifikate sind den Browsern unbekannt, sodass eine Fehlermeldung beim ersten Aufruf der Webseite ausgegeben wird.
- SNI wird nicht von allen Browsern unterstützt (siehe Liste).
Kompatibilität
SNI muss vom Client unterstützt werden. Hier eine Übersicht gängiger Browser:
| Browser | Version | SNI-Unterstützung |
|---|---|---|
| Firefox | ab Version 2.0 | ja |
| Internet Explorer | ab Version 7 | ja, ab Windows Vista |
| Opera | ab Version 8 | ja, wenn TLS 1.1 aktiviert ist |
| Safari | ab Version 3 | ja |
| Chrome | ab Version 6.0 | ja |
| Konqueror | ab KDE 4.1 | geplant |
Sofern der Client bzw. Browser keinen SNI-Support bietet, wird bei tiggersWelt.net das Standard-Zertifikat für ssl.tiggerswelt.net ausgeliefert, was in der Regel mit einer Warnung („CommonName stimmt nicht mit dem Hostname überein“) quittiert wird. Die Verbindung bleibt aber weiterhin verschlüsselt.
Unser Service
Unsere Webserver sind für SNI vorbereitet. SNI ist im Webhosting-Paket Advanced kostenlos enthalten.
Eingesetzte Version
Für den Webserver Apache sind verschiedene Anpassungen (Patches) und Zusatzsoftware (Mods) nötig.
Konfiguration
Da SNI eine Verschlüsselungstechnik ist, kann sie auch so konfiguriert werden.
Siehe auch
Weiterführende Links
- SNI in der Wikipedia: http://en.wikipedia.org/wiki/Server_Name_Indication (englisch)
