يعد تشغيل العديد من مواقع HTTPS تحت نفس عنوان IP ممارسة عادية اليوم. ولكن لم يكن هذا هو الحال دائماً. في البداية، كنت بحاجة إلى عنوان IP مخصص لكل نطاق تريد تأمينه. ومع ذلك، أدى وصول مؤشر اسم الخادم (SNI) إلى تغيير مشهد SSL بأكمله.
نوضح في هذه المقالة ما هو SNI، وكيف يعمل، ولماذا قد تحتاج إليه. لفهم العملية برمتها بشكل أفضل، نحتاج إلى العودة بالزمن إلى ما قبل إنشاء SNI.
جدول المحتويات
- قبل SNI: المضيفات القائمة على الاسم وعدم تطابقها مع HTTPS
- ما هو SNI؟
- لماذا نستخدم SNI؟
- كيف يعمل SNI؟
- ما هي مزايا SNI؟
- ما هي الاختلافات بين شبكات SAN و SNI؟
- شهادات أحرف البدل مقابل شهادات SNI
- ما هي المتصفحات التي تدعم SNI؟
- هل هناك أي عيوب في SNI؟
- لماذا لا ينتشر SNI على نطاق أوسع؟
- ما هو SNI المشفر (ESNI)؟
قبل SNI: المضيفات القائمة على الاسم وعدم تطابقها مع HTTPS
منذ أكثر من عقد مضى، كان جزء صغير فقط من المواقع الإلكترونية يستخدم بروتوكول HTTPS. كان HTTP لا يزال الملك. اليوم، إذا كنت ترغب في استضافة عدة مواقع ويب HTTP على نفس عنوان IP، يمكنك استخدام مضيفات تستند إلى الاسم. على سبيل المثال، إذا قمت بتشغيل ثلاثة مواقع HTTP على نفس عنوان IP عندما يتصل المستخدم بموقع معين، فإنه يستخدم رأس HTTP فريد يحتوي على اسم المضيف. في الاستجابة، يتعرف الخادم على هذا الرأس ويطابقه، ويرسل للمستخدم الوجهة المطلوبة.
يعمل هذا النهج حتى يدخل HTTPS في المعادلة ثم لا يعمل. نظرًا لأن SSL/TLS يتطلب مصافحة لتأسيس اتصال آمن بين العميل والخادم، لا يمكن تنزيل رأس HTTP الذي يحتوي على اسم المضيف الضروري قبل اكتمال المصافحة. لا يعرف الخادم ببساطة الموقع الإلكتروني الذي يجب مطابقته وإرسال المستخدم إليه. وهنا يأتي دور SNI في الإنقاذ.
ما هو SNI؟
SNI هو امتداد لبروتوكول TLS (أمن طبقة النقل) الذي يمكّن العديد من مواقع الويب من مشاركة عنوان IP نفسه. وهو يسمح لخوادم الويب باستضافة العديد من شهادات SSL/TLS على نفس عنوان IP، وهي فائدة أساسية للمواقع التي تستخدم HTTPS لتشفير اتصالاتها مع المستخدمين.
الآن، نعلم جميعًا أن بروتوكول TLS هو بروتوكول التشفير الذي يؤمن البيانات الحساسة في النقل (وإذا لم تكن تعلم، فإليك نظرة عامة تقنية سريعة على شهادات SSL/TLS)، ولكن في حد ذاته، في حالات معينة، TLS بعيد كل البعد عن الكمال. إحدى هذه الحالات الأساسية هي تشغيل شهادات SSL متعددة على نفس عنوان IP. لا يمكن ل TLS القيام بذلك ما لم تحصل على القليل من المساعدة من الملحق
تماماً مثل إضافات المتصفح التي تضيف المزيد من الميزات والوظائف الأفضل، فإن SNI هو امتداد لبروتوكول TLS/SSL يسمح للمستخدمين باستضافة شهادات SSL متعددة على عنوان IP واحد. يقوم SNI بذلك عن طريق إدراج رأس HTTP في مصافحة SSL/TLS.
قبل أن تصبح SNI امتدادًا لـ TLS في عام 2003، كان كل موقع ويب تريد تشفيره يتطلب عنوان IP فريدًا. وقد أدى ذلك إلى تكاليف باهظة، ولكن الأمر الأكثر إثارة للقلق هو الاستهلاك السريع لعناوين IPv4 IP. عناوين IP الفريدة ليست بلا حدود. على سبيل المثال، يحتوي الإصدار 4 من بروتوكول الإنترنت على ما يقرب من أربعة مليارات عنوان.
قبل ظهور SNI، كانت هناك مخاوف حقيقية من نفاد عناوين IPv4 قبل وصول IPv6 الجديد. تمكنت SNI من تخفيف هذه المخاوف وإبطاء استنفاد IPv4. ومن الأخبار السارة الأخرى، يحتوي IPv6 على حوالي 340 مليون عنوان غير متناهي. أي 340 متبوعاً بـ 36 صفراً. يجب أن يكون هذا المبلغ كافياً للمستقبل المنظور.
لماذا نستخدم SNI؟
تتيح SNI لأصحاب المواقع الإلكترونية تأمين الاتصالات مع المستخدمين والعملاء من خلال تسهيل إدارة شهادات SSL. وبدون SNI، سيحتاج كل موقع إلكتروني إلى عنوان IP فريد لاستخدام تشفير HTTPS، وهو ما قد يكون مكلفاً للشركات الصغيرة والشركات ذات الميزانية المحدودة.
تسهّل SNI أيضًا إدارة المواقع الإلكترونية، حيث يمكن لخوادم الويب الآن استضافة العديد من شهادات SSL/TLS على نفس عنوان IP. هذا يعني أن أصحاب المواقع الإلكترونية يمكنهم بسهولة إضافة مواقع إلكترونية أو إزالتها من حسابات الاستضافة الخاصة بهم.
كيف يعمل SNI؟
عندما تزور موقعًا إلكترونيًا عبر HTTPS، يحتاج متصفح الويب الخاص بك وخادم الموقع الإلكتروني إلى إنشاء اتصال آمن من خلال مصافحة SSL/TLS. خلال هذه العملية، يرسل متصفح الويب رسالة إلى الخادم تتضمن اسم مضيف الموقع الإلكتروني.
في حالة SNI، يتم تضمين اسم مضيف موقع الويب في رسالة “مرحباً بالعميل “، مما يسمح للخادم بتحديد الشهادة الصحيحة لاستخدامها في رسالة “مرحباً بالخادم “. ونتيجة لذلك، يمكن للخادم استضافة عدة شهادات SSL على نفس عنوان IP.
تدعم معظم خوادم الويب والمتصفحات الحديثة SNI، لكن الإصدارات القديمة قد لا تدعمها. في هذه الحالات، قد يتلقى مستعرض الويب شهادة SSL عامة بدلاً من الشهادة الصحيحة، مما قد يتسبب في ظهور تحذيرات أو أخطاء.
ما هي مزايا SNI؟
لقد غيرت SNI مشهد الاستضافة بالكامل عند تثبيت شهادات SSL وإدارتها. إليك مزاياها الرئيسية:
- الاستضافة متعددة النطاقات. باستخدام SNI، يمكنك استضافة وتأمين مواقع ويب متعددة على خادم واحد وعنوان IP واحد. تعمل SNI على تقليل تكاليف الاستضافة بشكل كبير وتبسيط إدارة SSL.
- المرونة. يوفر SNI المرونة لإضافة مواقع ويب أو إزالتها من الخادم دون الحاجة إلى إعادة تهيئة الخادم أو الحصول على عناوين IP إضافية.
- استخدام أفضل للموارد. يتيح SNI استخدام أفضل للموارد مثل عناوين IP، والتي يمكن أن تكون نادرة ومكلفة. من خلال استضافة مواقع متعددة على نفس عنوان IP، فإنك تبطئ من استنفاد IPv4 – البروتوكول الأساسي الذي يساعدنا على الاتصال بالويب.
ما هي الاختلافات بين شبكات SAN و SNI؟
تعد كل من SNI و SANs طريقتين لدعم شهادات SSL متعددة على خادم واحد. إلا أنها تختلف في كيفية تقديمها لهذا الدعم. والفرق الرئيسي بين SNI وشبكات SAN هو أن SNI هي تقنية من جانب الخادم، بينما شبكات SAN هي ميزة شهادة.
كما تعلم بالفعل، تمكّن SNI خادم الويب من استضافة شهادات متعددة على عنوان IP واحد. عندما يتصل العميل بالخادم، تسمح SNI للخادم بتحديد الشهادة التي يجب استخدامها بناءً على اسم المجال الذي قدمه العميل في الطلب الأولي.
أما شبكات SAN، من ناحية أخرى، فهي ميزة لشهادات SSL تسمح لشهادة واحدة بتأمين أسماء نطاقات متعددة تحت تثبيت واحد. تتضمن شهادة شبكة SAN قائمة بأسماء نطاقات إضافية (تُعرف أيضًا باسم أسماء النطاقات البديلة للموضوع) التي يمكنك حمايتها بنفس الشهادة.
أما بالنسبة للتوافق، فمعظم متصفحات الويب والخوادم الحديثة تدعم شبكات SAN وSAN. ومع ذلك، قد تكون بعض الأنظمة القديمة غير متوافقة معها.
شهادات أحرف البدل مقابل شهادات SNI
تؤمّن شهادة Wildcard SSL نطاقًا واحدًا وجميع نطاقاته الفرعية (غير المحدودة) تحت شهادة SSL واحدة. تعد أحرف البدل ميزة أخرى لشهادات SSL، تمامًا مثل شبكات SAN. من المريح والفعال من حيث التكلفة الحصول على خيار Wildcard SSL إذا كان موقعك الإلكتروني يحتوي على عدة نطاقات فرعية مثل new.yourwebsite.com أو blog.yourwebsite.com.
شهادات SNI غير موجودة لأن SNI ليست ميزة جوهرية لشهادات SSL ولكنها امتداد TLS على جانب الخادم. إذا كان خادمك يدعم SNI، يمكنك إضافة أي نوع من أنواع SSL على مجالات متعددة بنفس عنوان IP.
ما هي المتصفحات التي تدعم SNI؟
يتوافق SNI الآن مع 99% من المتصفحات وجميع أنظمة الخوادم الرئيسية. يدعم كل من Chrome و Mozilla و Opera و Safari والمتصفحات الأقل شهرةً SNI. يمكنك تنفيذ SNI على أنظمة Apache و Nginx و Ubuntu و Debian و CentOS والعديد من الأنظمة الشائعة الأخرى. بعض المكتبات التي تدعم SNI هي Open SSL و GnutTLS و Python و Oracle و Java. عندما تحتاج إلى تأمين مواقع ويب متعددة على عنوان IP واحد، استخدم SNI لصالحك.
ماذا يحدث إذا كان متصفح الويب لا يدعم SNI؟
إذا كان متصفح الويب لا يدعم SNI، فلن يتمكن من إنشاء اتصال آمن مع خادم يستخدم SNI لاستضافة شهادات SSL/TLS متعددة. ونتيجة لذلك، لن يتمكن المستخدم من الوصول إلى الموقع الإلكتروني. علاوة على ذلك، سيحصل المستخدم على رسالة خطأ تشير إلى أن الموقع الإلكتروني المعني غير آمن.
هل هناك أي عيوب في SNI؟
في حين أن SNI لها مزايا كبيرة، إلا أن هناك بعض العيوب المحتملة. الأول هو أن SNI يمكن أن يكون أبطأ من استخدام عنوان IP مخصص أو حل غير SNI. وذلك لأن الخادم يجب أن يقوم بخطوة إضافية لتحديد شهادة SSL/TLS الصحيحة لإنشاء اتصال آمن.
العيب الآخر هو أن ليس كل متصفحات الويب والخوادم تدعم SNI. إذا كنت تستخدم متصفحًا قديمًا أو نظامًا أساسيًا قديمًا، فقد تواجه مشكلات في التوافق، مما قد يؤدي إلى حدوث أخطاء أو ثغرات أمنية.
لماذا لا ينتشر SNI على نطاق أوسع؟
تفضل بعض المؤسسات استخدام عناوين IP مخصصة لأسباب أمنية. يمكن أن توفر هذه التدابير حماية إضافية ضد الهجمات الإلكترونية مثل انتحال عنوان IP. لا تدعم العديد من الأنظمة القديمة نظام SNI، لذا فإن هذا عامل مهم أيضاً. ولكن، مع انتشار التشفير في كل مكان، يكتسب تطبيق SNI انتشارًا واسعًا.
ما هو SNI المشفر (ESNI)؟
إن SNI المشفرة (ESNI) هي تقنية جديدة مصممة لمعالجة بعض نقاط الضعف الأمنية المحتملة المرتبطة بـ SNI. تقوم ESNI بتشفير معلومات SNI بحيث لا يمكن اعتراضها من قبل أطراف ثالثة، مما يحمي خصوصية المستخدم ويمنع المهاجمين من التجسس على عملية مصافحة TLS لتحديد المواقع الإلكترونية التي يزورها المستخدمون.
لم يتم دعم ESNI بعد على نطاق واسع من قبل متصفحات الويب والخوادم.
ما المتصفحات التي تدعم ESNI؟
في الوقت الحالي، فايرفوكس هو المتصفح الوحيد الشائع الذي يقدم دعم SNI.
الخاتمة
لقد غطت هذه المقالة الإشارة إلى اسم الخادم من جميع الزوايا والجوانب. والآن بعد أن عرفت ما هو SNI، يمكنك اعتماده لمواقعك الإلكترونية ومشاريعك. تتوافق معظم الأنظمة مع SNI لأنها امتداد أساسي في بيئة استضافة الويب اليوم. نظرًا لأن HTTPS هو معيار الويب الجديد، فإن SNI يسهل الانتقال من بروتوكول HTTP القديم.
وفِّر 10% على شهادات SSL عند الطلب اليوم!
إصدار سريع، وتشفير قوي، وثقة في المتصفح بنسبة 99.99%، ودعم مخصص، وضمان استرداد المال خلال 25 يومًا. رمز القسيمة: SAVE10