hostprofi.ru
Подобрать хостинг
Термин·буква S

SNI

краткое определение

SNI (Server Name Indication) — расширение протокола TLS, позволяющее клиенту указывать имя запрашиваемого хоста в начале TLS Handshake. Это позволяет одному IP-адресу обслуживать несколько HTTPS-сайтов с разными SSL-сертификатами.

SNI (Server Name Indication) — расширение протокола TLS, определённое в RFC 6066. При TLS Handshake клиент включает в сообщение Client Hello поле с именем целевого хоста. Сервер читает это имя до расшифровки и выбирает соответствующий SSL/TLS-сертификат.

Как работает

До SNI сервер не знал, какой виртуальный хост запрашивает клиент в момент TLS Handshake — HTTP-заголовок Host приходит только после установки соединения. Это означало: один IP-адрес = один сертификат. SNI решает проблему: клиент сообщает имя хоста в открытом виде в Client Hello, сервер выбирает нужный сертификат.

В Nginx SNI работает автоматически при настройке нескольких server-блоков с директивой ssl_certificate. Nginx читает SNI из TLS Handshake и выбирает соответствующий конфиг. Аналогично работает Apache mod_ssl и HAProxy.

Ограничение SNI: поле server_name в Client Hello передаётся в открытом тексте и видно пассивному наблюдателю сети. Это раскрывает, какой сайт посещает пользователь, даже без перехвата трафика. Протокол Encrypted Client Hello (ECH, бывший ESNI) шифрует это поле и разрабатывается IETF как решение.

История

SNI предложен в 2003 году (RFC 3546), обновлён RFC 4366 (2006) и RFC 6066 (2011). Первые браузеры получили поддержку SNI: Firefox 2.0 (2006), Opera 8.0 (2005), Safari 2.1 (2008), Internet Explorer 7 (2006). В 2022 году поддержку SNI можно считать универсальной — исключение только очень старые системы (Windows XP IE8 без SNI, Android 2.x).

Связь с хостингом

SNI — основа виртуального хостинга для HTTPS. Без SNI каждый HTTPS-сайт требовал отдельного IP-адреса. С SNI один VPS с одним IP может обслуживать тысячи HTTPS-сайтов. Все современные хостинг-панели (cPanel, ISPmanager, Plesk) используют SNI при добавлении SSL к виртуальным хостам. Let's Encrypt HTTP-01 challenge не требует дополнительных IP благодаря SNI.

Как работает SNI

SNI (Server Name Indication) — расширение TLS (RFC 6066). Клиент в первом сообщении ClientHello указывает имя домена. Сервер выбирает соответствующий SSL-сертификат. Без SNI — на одном IP только один SSL-сертификат. С SNI — сотни сайтов на одном IP.

Поддержка SNI

SNI поддерживают все современные браузеры и ОС (Windows XP не поддерживает). Nginx: SNI работает по умолчанию при наличии нескольких ssl-сертификатов в разных vhost. В Apache: SSLStrictSNIVHostCheck off для старых клиентов.

SNI и виртуальный хостинг

SNI сделал возможным HTTPS-виртуальный хостинг (shared hosting с SSL). До SNI для HTTPS требовался отдельный IP-адрес. Теперь тысячи сайтов разделяют один IP с разными SSL-сертификатами. Encrypted Client Hello (ECH) — эволюция SNI: шифрует сам hostname для privacy.

Encrypted Client Hello (ECH)

ECH (RFC-draft, 2024) — следующий шаг после SNI: шифрует hostname в ClientHello с помощью публичного ключа сервера, полученного через DNS (HTTPS record). Cloudflare реализует ECH. Без ECH: ISP видит домен в SNI даже при HTTPS. С ECH: только зашифрованный innerClientHello.

SNI в облачных балансировщиках

AWS ALB, Azure Application Gateway, Yandex Application Load Balancer — поддерживают SNI для нескольких SSL-сертификатов. Один балансировщик обслуживает десятки доменов с разными сертификатами. Хранение сертификатов в AWS Certificate Manager или Azure Key Vault — ротация без перезапуска.

Другие термины

.NET
.NET — кросс-платформенная платформа разработки Microsoft (2016+) для создания веб-приложений (ASP.NET Core), API, микросервисов, консольных утилит на C#, F# и VB.NET.
.NET Core
.NET (ранее .NET Core) — открытый кроссплатформенный фреймворк Microsoft для веб-разработки. ASP.NET Core поддерживает MVC, Minimal API, gRPC и Blazor, работает на Linux/Windows/macOS.
.htaccess
.htaccess — конфигурационный файл Apache, позволяющий задавать настройки веб-сервера для конкретной директории без перезапуска сервера: редиректы, права доступа, rewrite-правила, PHP-настройки.
100GbE
100GbE (100 Gigabit Ethernet) — стандарт сетевого интерфейса со скоростью 100 Гбит/с (12,5 ГБ/с). Используется в магистральных каналах дата-центров, spine-коммутаторах и серверах с высокопроизводительными NVMe-массивами.
10GbE
10GbE (10 Gigabit Ethernet) — стандарт Ethernet со скоростью передачи данных 10 Гбит/с. Используется в серверных сетях для подключения серверов к коммутаторам, интерконнекта гипервизоров и связи с хранилищами iSCSI/NFS.
152-ФЗ
152-ФЗ — Федеральный закон «О персональных данных», устанавливающий правила сбора, хранения и обработки данных граждан РФ. Обязывает хранить персданные россиян на серверах в России.
1GbE
1 Gigabit Ethernet (1GbE) — стандарт сетевого интерфейса с пропускной способностью 1 Гбит/с (125 МБ/с). Основной стандарт для серверных и рабочих сетей с 2000-х годов, определённый в IEEE 802.3ab (витая пара Cat5e+) и IEEE 802.3z (оптика).
25GbE
25GbE (25 Gigabit Ethernet) — стандарт сетевого интерфейса со скоростью 25 Гбит/с, принятый IEEE 802.3by в 2016 году. Оптимальный баланс между стоимостью и производительностью для серверных подключений в современных дата-центрах.
Смотрите также:
Все терминыБлогКаталог тарифов
SNI — что это, определение и как работает | Справочник — hostprofi.ru