SNI(Server Name Indication,服务器名称指示)是TLS/SSL握手过程中的一项扩展,它允许客户端在初始连接时告知服务器它想要连接的具体主机名。

原创 已于 2025-01-06 15:53:17 修改 · 1k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络协议

于 2025-01-03 11:26:43 首次发布

SNI(Server Name Indication,服务器名称指示)是TLS/SSL握手过程中的一项扩展,它允许客户端在初始连接时告知服务器它想要连接的具体主机名。这使得单个IP地址上的服务器可以托管多个安全网站(每个网站都有自己的域名和证书),而不会出现证书不匹配的问题。

### SNI 的工作原理

在没有SNI的情况下,TLS握手过程如下:

1. 客户端向服务器发起TCP连接。
2. 服务器响应并开始TLS握手。
3. 服务器发送其默认的SSL/TLS证书给客户端。
4. 如果客户端请求的主机名与证书中的域名不匹配,浏览器会显示一个警告或错误信息。

引入SNI后,握手过程变为:

1. 客户端向服务器发起TCP连接。
2. 在TLS ClientHello消息中,客户端包含一个SNI扩展,指明它想要访问的特定主机名。
3. 服务器根据SNI中提供的主机名选择相应的SSL/TLS证书,并将其发送给客户端。
4. 客户端验证证书,如果匹配则继续建立加密连接。

### SNI 的优势

- **多域名支持**:SNI允许在同一IP地址上托管多个HTTPS站点,每个站点可以有自己的SSL证书。这对于共享主机环境尤其有用,因为它减少了为每个站点分配独立IP地址的需求。
  
- **成本效益**:由于不需要为每个域名分配单独的IP地址,使用SNI可以显著降低运营成本,特别是在IPv4地址资源有限的情况下。

- **简化管理**:管理员可以在一个服务器上更轻松地管理和更新多个域名的证书,而无需处理复杂的网络配置。

### SNI 的局限性

- **旧版客户端不支持**:一些较

最低0.47元/天 解锁文章
潇锐killer
关注
CIAA 网络安全模型 — TLS v1.3 和 HTTPS 协议
烟云的计算
05-10 2848
举个例子:网站 https://www.example.com、https://www.something.com、https://www.another-website.com、https://www.example.io 被托管在相同的 Web 服务器中(相同的 IP 地址),若 SNI 扩展指定为 https://www.example.com,那么 Web 服务器就会返回 https://www.example.com 的 TLS 本地设备证书到客户端,继而建立正确的安全的连接
【Android面试八股文】SSL握手过程都经历过什么?
字节卷动
06-18 211
SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是用于在网络通信中提供安全性的协议。它们的版本历史反映了对安全漏洞的修复、性能的改进以及新的加密技术的采用。SSLTLS 的发展历程体现了对不断演变的安全威胁的响应以及加密技术的演进。每个新版本都旨在修复前一版本的漏洞,提供更强的加密和更好的性能。目前,TLS 1.2 和 TLS 1.3 是最常用的版本,其中 TLS 1.3 被视为最安全和高效的选择。
SNI(Server Name Indication)
热门推荐
浴血重生-学习空间
11-22 6万+
Server Name IndicationSNISNI (Server Name Indication)是用来改善服务器客户端 SSL (Secure Socket Layer)TLS (Transport Layer Security) 的一个扩展。主要解决一台服务器只能使用一个证书(一个域名)的缺点,随着服务器对虚拟主机的支持,一个服务器上可以为多个域名提供服务
什么是 SNI?iOS 开发者必懂的安全连接细节
最新发布
侯仕奇的博客
04-27 477
SNI是的缩写,是 TLS 协议(HTTPS 加密层)的一项扩展。在 TLS 握手阶段,客户端主动告诉服务器:“我想访问的域名是 example.com”。这样,服务器就可以根据域名返回正确的证书,完成安全连接。在 iOS 网络开发中,只要连接目标是 IP 地址而非域名,你就必须手动设置 SNI,否则 TLS 握手会失败。SNI 是确保安全连接的重要一环,正确理解和使用它,是高级 iOS 网络开发者必须掌握的能力。自定义网络栈安全防护(防 DNS 劫持)iOS App 与服务器的高可用连接优化。
服务器名字指示sni
02-18
SNIserver name indication服务器名字指示;是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展
Server Name IndicationSNI),HTTP/TLS握手过程解析
chen1415886044的博客
10-22 5933
Server Name IndicationSNI)是一种TLS扩展,用于在TLS握手过程中传递服务器的域名信息。在未使用SNI之前,客户端在建立TLS连接只能发送单个IP地址,并且服务器无法知道客户端请求的具体域名。这导致服务器需要使用默认证书进行握手,无法正确选择合适的证书。 使用SNI扩展后,客户端在发送ClientHello消息会包含所请求的服务器的域名。服务器根据该域名来选择对应的证书进行握手,从而实现了多个域名共享同一个IP地址并使用不同证书的能力。
TLS SNI
weixin_30776863的博客
02-16 231
Nginx如果开启了TLS SNI support,就能支持多个SSL加密站点共同使用一个IP 方法也很简单,首先先看看你现在的Nginx是否enable了这个功能 /usr/local/nginx/sbin/nginx -V nginx: nginx version: nginx/1.1.0 nginx: TLS SNI support disable nginx: c...
服务器名称指示SNI
我们为什么能在这里遇到?
09-25 2154
SNI介绍 由于服务器能力的增强,在一台物理服务器上部署多个虚拟主机已经成为十分流行的做法了。在过去的 HTTP 代,解决基于名称的主机同一 ip 地址上托管多个网站的问题并不难。当一个客户端请求某特定网站,把请求的域名作为主机头(host)放在 http header 中,从而服务器根据域名可以知道把该请求引向哪个域名服务,并把匹配的网站传送给客户端。但是此方式到 https 就失效了,因为 SSL握手过程中,不会有 host 信息,所以服务端通常返回配置中的第一个可用证书,这就导致不同虚拟主机
SNI
weixin_41400683的博客
09-04 1571
SNI(Server Name Indication) SNITLS扩展,用来解决一个服务器可以解析多个域名的情况 https建立连接, 需要经过TLS握手,再使用http按照约定好的加密规则进行加密传输。那么问题来了,如果一台服务器对应多个虚拟主机,且每个主机的都有 不同域名,使用了不一样的证书,该和哪台虚拟主机通信呢? HTTP协议通过请求头中添加host解决,TLS的做法也是加Host,在TLS握手第一阶段的ClientHello的报文里可以获取到 举例 例如sisu.xboxlive
server和client通信双方双向认证,基于openssl,使用TLS加密TCP流量
wc_12345654321的博客
08-22 1717
设计一个基于 OpenSSL 的 C 语言程序来实现双向认证的 TLS 加密 TCP 通信,需要包含服务器客户端两部分。以下是该程序的核心步骤及示例代码。bash复制代码。
深入理解nginx的https sni机制
一个致力于开源代码学习、分析和交流的博客
02-29 2419
本文从ssl上下文的初始化、ssl连接初始化、sni回调处理,到最后动态证书加载的整个流程说明了nginx sni的实现过程
TLS指纹跟踪网络安全实践(C/C++代码实现)
chen1415886044的博客
06-11 2188
TLS指纹是通过检查TLS握手过程中使用的密码套件、协议版本和加密算法等信息来确定的。由于不同的TLS实现在这些参数的选择上有所差异,因此可以通过比较TLS指纹来判断通信是否来自预期的源或目标。
OpenSSL-SNI
Remy的学习记录
09-14 1万+
一、    什么是SNI?     SNIServer Name Indication的缩写,是为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。它允许客户端在发起SSL握手请求客户端发出ClientHello消息中)提交请求的HostName信息,使得服务器能够切换到正确的域并返回相应的证书。     在SNI出现之前,HostName信息只存在于HTTP请求中,但SSL/TL
HTTPS & SNI(Server Name Indication)
来啊 快活啊
07-30 4041
HTTPS与SNI扩展,一个IP绑定多个SSL证书 SNI(Server Name Indication)
SSL / TLS协议解析!SNI 识别
chen1415886044的博客
05-01 7955
自Web诞生以来,我们所接触的互联网代,都有可能存在信息的截断,而SSL协议及其后代TLS提供了加密和安全性,使现代互联网安全成为可能。 这些协议已有将近二十多年的历史,其特点是不断更新,旨在与日趋复杂的攻击者保持同步。 什么是SSL!什么是TLSSSL代表安全套接字层,该协议是由Netscape于1990年代中期开发的,Netscape是当最受欢迎的Web浏览器。SSL 1.0从未向公众发布,而SSL 2.0具有严重的缺陷。1996年发布的SSL 3.0进行了彻底的改进,为后续工作奠定了基础。 而
SNI: 实现多域名虚拟主机的SSL/TLS认证
上善若水,水善利万物而不争。
02-20 1万+
一、介绍 早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,它默认认为:一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手服务器端可以确信客户端申请的是哪张证书。但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域
Server Name Indication翻译(多证书TLS扩展
gufachongyang02的专栏
09-30 2428
服务器支持tls双证书机制Server Name Indication翻译
HTTPS之SNI介绍
任我行的博客
06-30 3112
1. 介绍 早期的SSLv2根据经典的公钥基础设施PKI(Public Key Infrastructure)设计,默认一台服务器(或者说一个IP)只会提供一个服务,所以在SSL握手服务器端可以确信客户端申请的是哪张证书。 但是让人万万没有想到的是,虚拟主机大力发展起来了,这就造成了一个IP会对应多个域名的情况。解决办法有一些,例如申请泛域名证书,对所有*.yourdomain.com的域名都可以认证,但如果你还有一个yourdomain.net的域名,那就不行了。 在HTT
TLS SNI测试
LoongTu
04-02 2564
文章目录概述测试启动服务器客户端发起连接,不指定servername客户端发起连接,指定servername客户端发起连接,指定错误servername 概述 服务器名称指示Server Name Indication,缩写:SNI)是TLS的一个扩展协议,首次发布在openssl 0.9.8f版本。 在该协议下,在握手过程开始客户端告诉它正在连接服务器连接主机名称。这允许服务器在相同的...
mbedtls tls双向认证 服务器
02-17
对于本案例而言特别重要的一项就是打开`MBEDTLS_SSL_SERVER_NAME_INDICATION`宏定义以便于处理SNI扩展字段。 #### 4. 编写C语言代码实例化TLS会话对象 下面给出一段简化版的服务端示例代码片段展示如何利用mbedtls...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值