SNI（服务器名称指示）解释

您可以这样想象 SNI：您寄信给一栋公寓楼，而不是寄给一户人家。如果是寄往独栋别墅，只需提供街道地址，就能把信送到正确的人手中。但是，如果您想把信寄给公寓楼里的人，除了街道地址外，您还需要知道公寓号码。

许多网络服务器更像是公寓楼，而不是单户住宅：它们承载着多个域名，因此仅凭 IP 地址不足以显示用户试图访问的域名。这可能会导致服务器显示错误的 SSL 证书，从而阻止或中止 HTTPS 连接--就像一封信如果没有正确的人签收，就无法投递到某个地址一样。

SSL 是网站安全最重要的方面之一，它能确保客户的数据得到加密。不过，SSL 证书有两种不同类型："SNI "证书和 "通配符 "证书。本文将讨论使用 SNI 来确保一个 IP 地址上多个域名的安全，同时仍使用单个 SSL 证书。

什么是服务器名称指示（SNI）？

服务器名称指示是一种传输层安全（TLS）扩展，用于向网站发送传入请求的域名。这允许在一个 IP 地址上拥有多个域或子域的 SSL 证书。这意味着你不必为每个域名都准备 SSL 证书。例如，假设你的网站有主站和论坛部分。在这种情况下，单个 IP 地址就可以保护这两个域名，而无需为两个单独的证书支付两次费用，也无需从多个提供商处购买证书。

您还可以使用 SNI 保护高流量网站，并通过单个服务器发送所有非安全网站访问者，从而平衡服务器负载。这将为您节省带宽和资金。

服务器名称#

您可以将服务器名称视为您在浏览器中输入的主机名。例如，如果您想访问 Google 主页，您可以在浏览器 URL 栏中输入 "google.com"，然后按回车键。这就相当于在一行中输入 google.com，因为这样用户就可以直接访问该网站，而无需通过搜索引擎。

什么是 TLS？

TLS 或其前身 SSL（安全套接字层）是一种确保网络服务器和浏览器之间安全连接的协议。TLS 提供三个关键的安全功能：数据加密、服务器验证和信息完整性。数据加密有助于防止第三方窃听密码或信用卡号等敏感信息。同时，这些信息在网络上发送时会被加密，使其看起来像是无意义的文本。服务器身份验证可确保与你通信的网站是他们声称的真实身份，而不是某个冒充他们的人。信息完整性指的是第三方无法截获你的数据，并在不被接收端点发现的情况下修改或更改其中的任何内容，在这种情况下，接收端点要么是托管网站的服务器，要么是你的浏览器。

TLS 或 SSL 证书包含域名和加密密钥，用于确保端点（这里指托管服务器或浏览器）和另一台机器之间的连接安全。如果一个 IP 地址上有多个域名，则还需要多个 SSL 证书来保护每个域名。

SNI 如何工作？

SNI 是 TLS 握手的扩展。它是一种加密协议，允许网站在其服务器上轻松实施 HTTPS。当收到网络服务请求时，网站的域名也会被发送。由于这些信息是通过 TLS 传输的，所有浏览器和设备都能自动支持，因此无需更新技术或代码。

由于 IPv4 只有约 40 亿个 IP 地址，而且不是每个地址都能用于 SSL 证书，因此 SNI 是确保一个 IP 上多个域名安全的必要扩展。它允许网站所有者随心所欲地保护多个域名和子域，而不必担心可用地址数量有限。

要使 SNI 正常工作，网络服务器和客户端都必须支持它。如果不支持，访问者将被发送到通常托管在 443 端口的默认网站。这意味着，通过谷歌搜索结果或其他网站链接等不安全方式访问您网站的访客，其流量不会被加密。不过，由于现在大多数浏览器都会自动重定向到网站的安全版本

通配符证书与 SNI 证书 #

SNI 证书是 SSL 证书的一种，可以确保一个 IP 地址上多个域名的安全。与传统的通配符证书相比，这种证书更便宜，也更容易管理。由于使用 2048 位 SSL 加密，它们还能提供安全性。

通配符证书是传统的 SSL 证书，可确保一个域名上的子域数量不受限制。这种证书比较昂贵，而且存在一些安全问题。不过，通配符证书只能用于一个 IP 地址，因此通用性不如 SNI 证书。

SNI 提供了比传统通配符证书更便宜、更简单的选择。SNI 还能提供足够的安全性，而且 SNI 可用于多个 IP 地址，因此比通配符证书用途更广。

哪种选择适合我？

如果您想确保一个 IP 地址上多个域名的安全，那么 SNI 证书就是您的最佳选择。它们比传统的通配符证书更便宜、更安全。但是，如果您想保护不同域名上的单个子域，则应使用通配符证书。

如果你有一个高流量的网站，或者如果你想平衡服务器的负载，你会希望在一个 IP 地址上保护多个域名。如果要确保不同域名上的单个子域安全，则需要使用通配符证书。

为什么要使用服务器名称指示 (SNI)？

使用 SNI 对你的业务有很多好处，但最重要的原因包括

您可以在单个 IP 地址上为所有子域或不同域名使用一个 SSL 证书；这可以节省时间和金钱，因为它比为每个域名获取证书更便宜、更容易。

SNI 托管更安全，因为只有一个 SSL 证书颁发机构（CA）颁发证书。如果使用传统的通配符或多域名证书，就会有多个 CA，如果它们被泄露，就可能导致安全漏洞。

由于 TLS 握手只发生在 SSL 会话的开始阶段，不会影响性能，因此即使网站流量很大，也可以利用 SNI 托管的优势。

即使你的业务流量处于中低水平，你也可以利用这项技术，因为它是轻量级的，不会降低你网站的速度。

为什么服务器名称指示没有得到更广泛的应用#？

服务器名称指示技术尚未普及的主要原因是，并非所有操作系统（如 Windows XP）都支持 TLS。不过，随着越来越多的人认识到使用 SNI 证书的好处，这一数字正在与日俱增。

缺乏普及的另一个原因可能是缺乏相关教育。许多人仍然认为他们需要通配符证书来确保一个域名上多个子域的安全，但事实并非如此。

SNI 的未来

虽然服务器名称指示早在 2003 年就已出现，但在安全和 SSL 证书领域，它正慢慢成为一种更常见的技术。虽然不是每个网站所有者都必须利用 SNI，但它可以在确保企业或网站在线安全时为你节省时间、金钱和麻烦。

如果您正在寻找一种更安全、用途更广泛的方法来保护您的网站，那么服务器名称指示就是您的正确选择。与传统的通配符证书相比，SNI 证书成本更低，更易于管理，而且具有很强的安全性。你还可以在多个 IP 地址上使用它们，使它们比传统的 SSL 证书更具通用性。

为什么要为企业建立 SSL 信任？

所有在线业务都依赖于与访客建立一定程度的信任，以便访客完成交易。随着谷歌推动网络100%安全，越来越多的人开始了解HTTPS，并对网站失去信任...

TLS 1.2 与 TLS 1.1

在当今世界，安全是我们生活方方面面的一个重要方面。互联网是我们日常生活中不可或缺的一部分，因此必须确保我们的在线交易安全并防止恶意攻击。其中...

看看 TLS 1.3 带来的改进

距离上一次重大加密协议更新已经过去了近十年，然而 TLS 1.3 时代终于来临了。虽然它还很新，但新的 TLS 已经得到了网络开发人员的广泛关注。除了...

本文标签： # sni认证