Überblick: Server Name Indication

SNI – Server Name Indication – bietet die Möglichkeit, mehrere SSL-Zertifikate auf einer dedizierten IP-Adresse zu nutzen.

Hat man beispielsweise die Domains example.com und example.org und wollte für jede Domain ein eigenes SSL-Zertifikat nutzen, musste man für jede Domain jeweils eine eigene, dedizierte IP-Adresse oder einen eigenen Port nutzen. Abhilfe schafft die RFC 3546, die die SNI-Erweiterung des TLS-Protokolls beschreibt.

Ich möchte Ihnen einen kurzen Überblick über Vor- und Nachteile beim Einsatz der SNI-Erweiterung aufzeigen.

Vorteile

  • keine dedizierte IP / kein dedizierter Port notwendig
  • begrenzter IPv4-Adressraum wird besser ausgenutzt
  • bei gültigem Zertifikat bemerkt der User keinen Unterschied

Nachteile

  • nicht alle Browser unterstützen SNI

Unterstützte Software

SNI wird mittlerweile von quasi allen Browsern und Webservern unterstützt. Lediglich der Internet Explorer unter Windows XP unterstützt SNI selbst in Version 8 nicht.

  • Mozilla Firefox (ab Version 2.0)
  • Opera (ab Version 8.0)
  • Internet Explorer (ab Version 7)
  • Google Chrome
  • Safari (ab Version 3.0)
  • Android Browser (ab Andoid-Version 4.0 auf Smartphones)
  • Safari auf iOS (ab iOS-Version 4)

Serverseitig kann man folgende Software aufzählen:

  • Apache
  • Cherokee
  • IIS
  • lighttpd
  • nginx

Natürlich gibt es noch weitere Software, die SNI unterstützt.

Fazit

Es gibt, in meinen Augen, von der technischen Seite aus keinerlei Einschränkungen beim Einsatz von SNI. Man sollte natürlich vorher darüber nachdenken, ob man viele Internet Explorer-User unter Windows XP hat. Ein Forum, welches sich also auf Windows XP und den Internet Explorer spezialisiert hat, sollte lieber auf SNI verzichten.

Gerne können Sie sich bei weiteren Fragen oder Anregungen zu diesem Artikel jederzeit direkt kontaktieren oder die Kommentarfunktion unter diesem Beitrag nutzen.

Schreibe einen Kommentar