Was ist SNI (Server Name Indication)?

SNI (Server Name Indication)

Die Server Name Indication (SNI) ist ein wesentlicher Bestandteil des TLS-Protokolls, der es mehreren Websites mit unterschiedlichen SSL-Zertifikaten ermöglicht, eine einzige IP-Adresse zu nutzen. Dadurch werden separate IP-Adressen für jede Domain überflüssig, was das Webhosting effizienter und kostengünstiger macht. Vor SNI waren für das Hosting SSL-gesicherter Websites mehrere IP-Adressen erforderlich, was die Kosten und die Komplexität erhöhte. Jetzt können Unternehmen mehrere Domains auf einem einzigen Server sichern.

In diesem Artikel erklären wir Ihnen, was SNI ist, wie es funktioniert, welche Vorteile es bietet und warum es für ein effizientes Hosting sicherer Websites unerlässlich geworden ist.


Inhaltsübersicht

  1. Was ist SNI (Server Name Indication)?
  2. Wie funktioniert die Anzeige von Servernamen?
  3. Das Problem, das SNI löst
  4. Geschichte und Entwicklung der SNI
  5. Vorteile der Verwendung von SNI
  6. SNI und SSL/TLS-Zertifikate
  7. Kompatibilitätsprobleme mit SNI
  8. Sicherheits- und Datenschutzbedenken in Bezug auf SNI

Was ist SNI (Server Name Indication)?

Server Name Indication (SNI) ist eine Erweiterung des Transport Layer Security (TLS) Protokolls. Sie ermöglicht es einem Client, z.B. einem Webbrowser, während des TLS-Handshakes den Domainnamen anzugeben, den er zu erreichen versucht. Dieser Prozess ermöglicht es einem Webserver, mehrere Domains mit individuellen SSL/TLS-Zertifikaten auf einer einzigen IP-Adresse zu hosten.

Ohne SNI wüssten die Server nicht, welches Zertifikat sie vorlegen sollen, was zu einem Fehler und damit zum Scheitern der Verbindung führen kann. SNI spielt eine entscheidende Rolle bei der Lösung dieses Problems, indem es angibt, mit welcher Domäne sich der Client verbindet, bevor die Verbindung vollständig hergestellt ist.


Wie funktioniert die Anzeige von Servernamen?

SNI ist Teil des TLS-Handshake Prozesses, der stattfindet, wenn ein Client (z.B. ein Browser) versucht, eine sichere Verbindung mit einem Server herzustellen. Hier ist eine Aufschlüsselung, wie es funktioniert:

  1. Der Client sendet eine Client-Hallo-Nachricht an den Server, die die SNI-Erweiterung enthält, die den Domänennamen angibt, mit dem er sich zu verbinden versucht.
  2. Der Server überprüft das SNI-Feld und wählt das entsprechende SSL/TLS-Zertifikat auf der Grundlage des angeforderten Domainnamens aus.
  3. Sobald das Zertifikat vorgelegt wird, läuft der TLS-Handshake wie gewohnt ab und gewährleistet, dass die Verbindung verschlüsselt und sicher ist.

Dieses Verfahren verhindert den Fehler “common name mismatch”, bei dem das SSL-Zertifikat nicht mit dem Domainnamen übereinstimmt, den der Client zu erreichen versucht. SNI stellt sicher, dass für jede Domain, die auf derselben IP-Adresse gehostet wird, das richtige Zertifikat vorgelegt wird.


Das Problem, das SNI löst

Vor der Einführung von SNI benötigten Webserver separate IP-Adressen für jede Domain, die ihr eigenes SSL-Zertifikat verwendete. Dies stellte ein erhebliches Problem dar, insbesondere mit der Erschöpfung der IPv4-Adressen. Da IPv4 auf etwa 4,3 Milliarden eindeutige Adressen begrenzt ist, hatten viele Hosting-Anbieter Schwierigkeiten, mehrere Domains auf einer begrenzten Anzahl von IP-Adressen unterzubringen.

SNI löst dieses Problem, indem es ermöglicht, dass mehrere Domains mit separaten Zertifikaten auf derselben IP-Adresse gehostet werden können. Ohne SNI würde beispielsweise ein Unternehmen wie GoDaddy, das Millionen von Domains hostet, für jede Domain, die HTTPS verwendet, eine eigene IP-Adresse benötigen. SNI hebt diese Einschränkung auf und ermöglicht es einem Server, viele Domains auf einer IP-Adresse zu hosten.


Geschichte und Entwicklung der SNI

SNI wurde offiziell im Jahr 2003 als Teil der Protokollerweiterung Transport Layer Security (TLS) eingeführt. Zunächst unterstützten nicht alle Browser und Server SNI, aber als die Internetnutzung zunahm und der Bedarf an effizienteren Hosting-Lösungen dringlich wurde, wuchs die Unterstützung für SNI.

Heutzutage unterstützen die meisten modernen Browser und Server SNI, was es zu einer grundlegenden Komponente der Webhosting-Infrastruktur macht. Es gibt jedoch immer noch einige ältere Systeme wie Windows XP und ältere Versionen von Android, die SNI nicht unterstützen, was zu Kompatibilitätsproblemen führen kann. Trotzdem hat sich SNI zu einer Standardlösung für das Hosting mehrerer SSL-gesicherter Websites auf gemeinsam genutzten Servern entwickelt.


Vorteile der Verwendung von SNI

SNI bietet sowohl den Website-Besitzern als auch den Hosting-Providern mehrere wichtige Vorteile. Diese Vorteile umfassen:

  • Kosteneffizienz: Da sich mehrere Domains eine einzige IP-Adresse teilen können, reduziert SNI den Bedarf an zusätzlichen IP-Adressen. Dies ist besonders wichtig im Hinblick auf das Problem der Erschöpfung der IPv4-Adressen, da die verfügbaren IPv4-Adressen schnell abnehmen.
  • Vereinfachtes Hosting: SNI ermöglicht es Hosting-Anbietern, viele SSL-geschützte Websites von demselben Server und derselben IP-Adresse aus zu bedienen. Dadurch entfällt die Komplexität der Verwaltung mehrerer IPs für verschiedene SSL-Zertifikate.
  • Verbesserte Ressourcenzuweisung: Hosting-Provider können wertvolle Ressourcen einsparen, indem sie mehrere Domains auf weniger Servern betreiben und dabei die HTTPS-Verschlüsselung für jede Website beibehalten.

Da die Einführung von IPv6 noch im Gange ist, bietet SNI eine vorübergehende, aber effektive Lösung, um die wachsende Zahl von Websites zu verwalten, die auf einem begrenzten Pool von IPv4-Adressen gehostet werden.


SNI und SSL/TLS-Zertifikate

Eine der wichtigsten Funktionen von SNI ist die Verwendung mehrerer SSL/TLS-Zertifikate auf einem einzigen Server oder einer einzigen IP-Adresse. Wenn Websites auf demselben Server gehostet wurden, benötigte jede Domain traditionell ihre eigene dedizierte IP-Adresse, um SSL-Konflikte zu vermeiden. Mit SNI entfällt diese Anforderung, da sichergestellt wird, dass das Zertifikat jeder Domain auf der Grundlage des beim TLS-Handshake angeforderten Hostnamens korrekt zugewiesen wird.

SNI ist mit verschiedenen Arten von SSL-Zertifikaten kompatibel, darunter:

  • Single Domain SSL-Zertifikate: Für einzelne Websites können diese Zertifikate dank SNI nahtlos funktionieren, ohne dass eine eindeutige IP-Adresse erforderlich ist.
  • Multi-Domain (SAN) SSL-Zertifikate: SNI kann auch in Verbindung mit Subject Alternative Name (SAN)- Zertifikaten verwendet werden, mit denen ein einziges Zertifikat mehrere Domains abdecken kann. SAN-Zertifikate können zwar die SSL-Verwaltung vereinfachen, sind aber tendenziell größer und weniger flexibel als Einzelzertifikate in Verbindung mit SNI.

SNI unterstützt auch die neuesten Versionen von TLS, einschließlich TLS 1.2 und TLS 1.3, und bietet damit eine verbesserte Verschlüsselung und Leistung.


Kompatibilitätsprobleme mit SNI

Während SNI von modernen Browsern und Betriebssystemen weitgehend unterstützt wird, gibt es einige Kompatibilitätsprobleme mit älteren Systemen. Dazu gehören ältere Versionen des Internet Explorer unter Windows XP und veraltete Versionen von Android (vor 2.3).

Wenn ein Client einen Browser oder ein Betriebssystem verwendet, das SNI nicht unterstützt, kann es sein, dass der Server nicht das richtige SSL-Zertifikat vorlegen kann, was zu einem “name mismatch”-Fehler oder einer Warnung über eine unsichere Verbindung führt.

Umgehungen für Clients, die kein SNI unterstützen, sind möglich:

  • Zuweisung einer dedizierten IP-Adresse an die Domain.
  • Verwendung von Multi-Domain-Zertifikaten (SAN), die alle relevanten Domänen in einem einzigen Zertifikat enthalten.

Glücklicherweise sinkt der Prozentsatz der Nutzer, die von diesem Problem betroffen sind, mit der zunehmenden Verbreitung moderner Browser und Systeme.


SNI löst zwar viele Hosting-Probleme, ist aber nicht ohne Sicherheits- und Datenschutzbedenken. Ein bemerkenswertes Risiko ist, dass SNI den Hostnamen der Website während des TLS-Handshakes preisgibt. Dies könnte es Dritten, wie z.B. Netzwerkabhörern, ermöglichen, zu sehen, welche Website ein Benutzer zu besuchen versucht, selbst wenn der Rest der Sitzung verschlüsselt ist.

Um dieses Datenschutzproblem zu lösen, wurde Encrypted SNI (ESNI) eingeführt. ESNI verschlüsselt den Hostnamen in der Client-Hallo-Nachricht während des TLS-Handshakes, so dass Außenstehende nicht sehen können, mit welcher Domäne sich der Benutzer verbindet.

Zusätzlich zu ESNI werden neuere Technologien wie DNS über HTTPS (DoH) und TLS 1.3 bieten einen verbesserten Datenschutz und mehr Sicherheit, indem sie sicherstellen, dass sowohl der Hostname als auch die Daten des Benutzers von Beginn der Verbindung an verschlüsselt bleiben.


Unterm Strich

Server Name Indication (SNI) ist eine wichtige Technologie, die es ermöglicht, mehrere SSL-gesicherte Websites auf einer einzigen IP-Adresse zu hosten, was für Webhosting-Anbieter kosteneffizienter und flexibler ist. Da die Nachfrage nach SSL-Zertifikaten steigt, sorgt SNI dafür, dass Unternehmen sichere, verschlüsselte Verbindungen für mehrere Domains anbieten können, ohne dass zusätzliche IP-Adressen benötigt werden.

Wenn Sie Ihre Website mit einem SSL-Zertifikat absichern möchten, SSL Dragoneine große Auswahl an erschwinglichen Optionen, von Single-Domain-Zertifikaten bis hin zu Wildcard SSL- und Multi-Domain SSL (SAN)-Zertifikaten. So können Sie die Vorteile von SNI problemlos nutzen und gleichzeitig Ihre Daten und Kunden schützen.

Sparen Sie 10% auf SSL-Zertifikate, wenn Sie noch heute bestellen!

Schnelle Ausstellung, starke Verschlüsselung, 99,99% Browser-Vertrauen, engagierter Support und 25-tägige Geld-zurück-Garantie. Gutscheincode: SAVE10

A detailed image of a dragon in flight
Geschrieben von

Erfahrener Content-Autor, spezialisiert auf SSL-Zertifikate. Verwandeln Sie komplexe Cybersicherheitsthemen in klare, ansprechende Inhalte. Tragen Sie durch wirkungsvolle Narrative zur Verbesserung der digitalen Sicherheit bei.