SNI
Server Name Indication
Problem: Mehrere SSL-Zertifikate auf einer IP
Das SSL-Protokoll sieht klassischerweise nur vor, ein SSL-Zertifikat pro IP auszustellen. Das bedeutet, wenn mehrere virtuelle Hosts eine IP nutzen, können diese kein korrektes Zertifikat ausliefern.
Hierfür gibt es eine recht neue Lösung: Server Name Indication (beschrieben in RFC 3546) ermöglicht, pro virtuellen Host ein Zertifikat zu vergeben.
Unterstützung Serverseitig
OpenSSL unterstützt SNI seit kurzem in der Version 0.9.8f. GnuTLS unterstützt SNI schon deutlich länger, seit 0.5.10. Für Apache ist Momentan noch ein [Patch http://issues.apache.org/bugzilla/show_bug.cgi?id=34607] notwendig. Für lighttpd ist SNI ebenfalls in Arbeit.
Unterstützung Browser
Mozilla Firefox und Opera unterstützen SNI schon länger problemlos, Internet Explorer erst ab Version 7. Ebenso unterstützen fast alle Mozilla-basierenden Browser SNI (bspw. Epiphany). Konqueror unterstützt SNI bislang überhaupt nicht, es wird vermutlich mit KDE 4.1 kommen. Ebenso unterstützt Safari bislang kein SNI.
Weitere Software
Theoretisch lässt sich SNI auch für andere Systeme außer http, die virtuelle Hosts nutzen, einsetzen, etwa Jabber/XMPP. Über den Stand der Unterstützung ist uns noch nichts bekannt.