Wat is SNI?

Server Name Indication is een recente uitbreiding van het TLS en SSL protocol die een browser toelaat om aan het begin van de SSL verbinding aan te geven met welke hostname de browser verbinding zoekt. Het grote voordeel van SNI is dat hierdoor meerdere SSL certificaten aan één en hetzelfde IP-adres van een webserver kunnen gekoppeld worden, en er niet langer één apart IP-adres per SSL website moet voorzien worden.

Hoe werkt SNI?

Het HTTP protocol ondersteunt al sinds versie 1.1 het concept van name-based virtual hosting. Aan het begin van de verbinding met de webserver geeft de browser aan met welke hostname hij wil verbinden, en deze hostname wordt uitgelezen uit de host headers die meegegeven worden in de browser request. Bij een SSL verbinding is dit standaard niet mogelijk, omdat de handshake van de SSL-verbinding plaats vindt voor de browser request ontsleuteld wordt en de webserver kan nagaan welke hostname er gevraagd wordt.
Websites die op hetzelfde IP-adres worden gehost moeten daardoor noodgedwongen gebruik maken van hetzelfde SSL certificaat, of elk een eigen IP-adres hebben, wat met de huidige schaarste van IPv4 adressen niet aangewezen is.

SNI lost dit probleem dus op. SNI is een uitbreiding van het TLS protocol waarbij de hostname als "onderdeel" van de SSL/TLS handshake wordt verzonden.
De webserver kan zo de juiste website selecteren en het juiste certificaat aan de browser voorschotelen.