SNI

Aus schokokeks.org Wiki
Zur Navigation springen Zur Suche springen

Server Name Indication

Problem: Mehrere SSL-Zertifikate auf einer IP

Das SSL-Protokoll sieht klassischerweise nur vor, ein SSL-Zertifikat pro IP auszustellen. Das bedeutet, wenn mehrere virtuelle Hosts eine IP nutzen, können diese kein korrektes Zertifikat ausliefern.

Hierfür gibt es eine recht neue Lösung: Server Name Indication (beschrieben in RFC 3546) ermöglicht, pro virtuellen Host ein Zertifikat zu vergeben.

Unterstützung Serverseitig

OpenSSL unterstützt SNI seit kurzem in der Version 0.9.8f. GnuTLS unterstützt SNI schon deutlich länger, seit 0.5.10. Für Apache ist Momentan noch ein Patch notwendig. Für lighttpd ist SNI ebenfalls in Arbeit.

Unterstützung Browser

Mozilla Firefox und Opera unterstützen SNI schon länger problemlos, Internet Explorer erst ab Version 7. Ebenso unterstützen fast alle Mozilla-basierenden Browser SNI (bspw. Epiphany). Konqueror unterstützt SNI bislang überhaupt nicht, es wird vermutlich mit KDE 4.1 kommen. Ebenso unterstützt Safari bislang kein SNI.

Weitere Software

Theoretisch lässt sich SNI auch für andere Systeme außer http, die virtuelle Hosts nutzen, einsetzen, etwa Jabber/XMPP. Über den Stand der Unterstützung ist uns noch nichts bekannt.

Links/Hintergründe