Server Name Indication (SNI)

Server Name Indication (SNI) ist eine Erweiterung des TLS-Protokolls, wobei schon beim Aufbau einer verschlüsselten Verbindung der Name des geforderten Webservers übertragen wird. Dies ist notwendig, damit der Webserver sofort weiß, welches SSL-Zertifikat er zur Authentifizierung und Verschlüsselung an den Client (z.B. ein Browser) weiterreichen muss.

Vorteile

  • Mittels SNI kann auf eine dedizierte IP oder einen Port verzichtet werden.
  • Die Technik läuft für den Browser-Benutzer transparent im Hintergrund ab, wenn dem Zertifikat vertraut wird.

Nachteile

  • Allgemein gilt: Selbst signierte Zertifikate sind den Browsern unbekannt, sodass eine Fehlermeldung beim ersten Aufruf der Webseite ausgegeben wird.
  • SNI wird nicht von allen Browsern unterstützt (siehe Liste).

Kompatibilität

SNI muss vom Client unterstützt werden. Hier eine Übersicht gängiger Browser:

Browser Version SNI-Unterstützung
Firefox ab Version 2.0 ja
Internet Explorer ab Version 7 ja, ab Windows Vista
Opera ab Version 8 ja, wenn TLS 1.1 aktiviert ist
Safari ab Version 3 ja
Chrome ab Version 6.0 ja
Konqueror ab KDE 4.1 geplant

Sofern der Client bzw. Browser keinen SNI-Support bietet, wird bei tiggersWelt.net das Standard-Zertifikat für ssl.tiggerswelt.net ausgeliefert, was in der Regel mit einer Warnung („CommonName stimmt nicht mit dem Hostname überein“) quittiert wird. Die Verbindung bleibt aber weiterhin verschlüsselt.

Unser Service

Unsere Webserver sind für SNI vorbereitet. SNI ist im Webhosting-Paket Advanced kostenlos enthalten.

Eingesetzte Version

Für den Webserver Apache sind verschiedene Anpassungen (Patches) und Zusatzsoftware (Mods) nötig.

Konfiguration

Da SNI eine Verschlüsselungstechnik ist, kann sie auch so konfiguriert werden.

Siehe auch

Weiterführende Links

 
webhosting/sni.txt · Zuletzt geändert: 20.01.2014 20:31 von bernd
 
Impressum Letzte Änderungen per RSS-Feed Basiert auf DokuWiki tiggersWelt.net Internet Service Provider