Dieser Artikel wurde maschinell übersetzt.
Wenn Sie Server Name Indication (SNI) verwenden, können Sie mehrere Domainnamen gleichzeitig mit jeweils eindeutigem TLS-Zertifikat unter einer einzigen IP-Adresse hosten.
Beginnen wir mit einem Beispiel.
Der Hosting-Riese GoDaddy hat 52 Millionen Domainnamen. Die Verbraucher erwarten Privatsphäre bei jedem einzelnen. Aber sie werden alle auf denselben IP-Adressen gehostet.
Doch in der Vergangenheit haben Unternehmen wie GoDaddy beispielsweise umfassende Sicherheitszertifikate erstellt, um die Verbraucher (und ihre Browser) zu beruhigen. Dies war nicht immer effektiv. Manchmal wurden Websites nicht geladen. In anderen Fällen erhielten Benutzer die gefürchtete Meldung „Diese Site ist nicht sicher“, bevor sie eine Verbindung herstellen konnten.
SNI soll dieses Problem lösen, indem es die Art und Weise ändert, wie ein Browser mit einem Server kommuniziert.
Lassen Sie uns tiefer graben.
Welches Problem löst ein SNI?
Viele Hosting-Unternehmen bieten Websites mit völlig unterschiedlichen Domänennamen an, die jedoch alle unter derselben IP-Adresse gehostet werden. Verbindungen können in diesem Umfeld sehr schnell ins Wanken geraten.
Um eine Verbindung mit einer Website herzustellen, muss Ihr Gerät einen Handshake-Prozess durchlaufen, der Folgendes umfasst:
- Öffentlichkeitsarbeit. Ihr Browser greift auf den Hostserver zu und fordert ein SSL-Zertifikat an. Diese winzigen Datendateien funktionieren ähnlich wie die Authentifizierung und stellen sicher, dass die Verbindung zwischen einem Browser und einem Server sicher ist.
- Handel. Ihr Browser und der Host-Server tauschen elektronische Schlüssel aus, um den Sicherheitsprozess zu festigen.
- Kunde HALLO. Ihr Browser fordert über diesen Code eine bestimmte Website innerhalb einer gemeinsamen IP an.
- Verbindung. Sie sind bereit, sich zu engagieren.
Beachten Sie, dass Ihr Browser eine bestimmte IP-Adresse anfordert, nachdem er ein SSL-Zertifikat angefordert hat. Und hier ist das Problem.
Wenn der Server nicht genau weiß, welche Seite ein Browser haben möchte, kann die IT die falsche Seite senden. Anstatt das Sicherheitszertifikat für die gewünschte Website zu erhalten, erhalten Sie eines für eine Website, nach der Sie nie gefragt haben. Verwirrungen wie diese gehen mit Warnungen einher. Ihre Website könnte, wie ein Blogger es ausdrückt, am Ende "die Leute erschrecken" mit Warnungen vor mangelnder Sicherheit.
In dieser Umgebung erscheint es möglicherweise klüger, jeder einzelnen Website eine IP-Adresse zuzuweisen. Leider gibt es einfach nicht genug IPs für alle.
IPv4 ist ein internationaler Kommunikationsstandard, der den Online-Verkehr regelt. Jedem Gerät im Internet werden numerische Beschriftungen zugewiesen, die schnelle Verbindungen ermöglichen. Aber dieses System wurde 1981 entwickelt, und die IT kann mit der Nachfrage nicht Schritt halten.
So viele Geräte sind jetzt online-fähig. Zusätzlich zu Computern und Telefonen haben wir Türklingeln, Kühlschränke, Referent und Mikrowellen zum Verbinden bereit. Eindeutige Adressen sind selten.
Ein neuer Standard, der sich in der Entwicklung befindet, IPv6, wird das Problem lösen. Aber die IT ist noch nicht fertig. Im Moment müssen wir lernen, zu teilen. Und SNI macht das möglich.
So funktioniert die TLS-SNI-Erweiterung
Stellen Sie sich SNI so vor, als würde es ein Standardzugriffsprotokoll auf den Kopf stellen. Anstatt darauf zu warten, einem Server mitzuteilen, welche Website Sie sehen möchten, stellen Sie die Anfrage im Voraus.
SNI ist eine Erweiterung des TLS-Protokolls. Während eines Handshakes mit einem Host kann ein Browser den Domain-Namen der angeforderten Site angeben, bevor er den Sicherheitsschlüssel austauscht. Das bedeutet, dass das richtige Zertifikat sofort verschickt wird und das Risiko einer schlechten User Experience reduziert wird.
Ist SNI sicher?
Der Entwickler erstellte das zugrunde liegende SNI-Konzept, um sicherzustellen, dass der Benutzer über sichere Verbindungen zu den Websites verfügte, die er besuchen wollte. Aber leider birgt die Erweiterung ein Sicherheitsrisiko.
SNI ist nicht vollständig verschlüsselt. Jeder, der auf Ihrer Website herumschnüffelt, könnte die Website sehen, die Sie besuchen möchten. Und wenn dieser Lauscher talentiert ist, könnte diese Person den gewünschten Hostnamen durch einen Namen ersetzen, der vom Hacker kontrolliert wird.
Entwickler verwenden Workarounds zur SNI-Verschlüsselung, um dieses Risiko zu reduzieren oder zu eliminieren. Aber vorerst bleibt die IT real.
Wer kann SNI nutzen?
Die meisten Verbraucher können ihre Browser nicht direkt dazu zwingen, diese Technologie zu akzeptieren. Die IT wird in den Code geschrieben, oder die IT wird aus demselben Code ausgeschlossen.
Die Implementierung von SNI kann etwas knifflig sein. Unternehmen müssen über funktionierende Systeme verfügen, die die Erweiterung akzeptieren und verwenden. Und Besucher müssen Browser verwenden, die dasselbe tun.
Einige Unternehmen verwenden Workarounds. Sie implementieren SNI nur auf bestimmten Betriebssystemen und überlassen den Rest dem Zufall.
Wenn Besucher mit Browsern arbeiten, die SNI nicht unterstützen, durchlaufen sie möglicherweise Standard-Handshake-Systeme und erhalten das falsche Zertifikat. Zum Glück ist das selten. Die meisten Browser arbeiten mit dem SNI-System.
Wenn Sie mit Legacy-Systemen arbeiten, wissen Sie, wie schwierig es ist, die IT sicher und geschützt zu halten. Wir haben ein Whitepaper zu diesem Thema verfasst, das für Sie nützlich sein könnte. Lesen Sie hier alle Details .
Referenzen
Wie Go Daddy 52 Millionen Domains am Laufen hält. (April 2012). Rechenzentrum Wissen.
Lösung des IP-Adressmangels. (Mai 2011). Regieren.
Macht Ihre Website den Leuten Angst? Freunde des Ministeriums.
