La Indicación de Nombre de Servidor (SNI) es una parte esencial del protocolo TLS, que permite que varios sitios web con certificados SSL distintos compartan una única dirección IP. Esto elimina la necesidad de direcciones IP separadas para cada dominio, haciendo que el alojamiento web sea más eficiente y rentable. Antes de SNI, el alojamiento de sitios protegidos con SSL requería varias IP, lo que aumentaba los costes y la complejidad. Ahora, las empresas pueden proteger varios dominios en un solo servidor.
En este artículo, explicaremos qué es el SNI, cómo funciona, sus ventajas y por qué se ha convertido en esencial para alojar sitios web seguros de forma eficiente.
Índice
- ¿Qué es SNI (Indicación de Nombre de Servidor)?
- ¿Cómo funciona la indicación del nombre del servidor?
- El problema que resuelve SNI
- Historia y desarrollo del SNI
- Ventajas de utilizar el SNI
- Certificados SNI y SSL/TLS
- Problemas de compatibilidad con SNI
- Cuestiones de seguridad y privacidad relacionadas con el SNI
¿Qué es SNI (Indicación de Nombre de Servidor)?
La Indicación del Nombre del Servidor (SNI) es una extensión del protocolo deSeguridad de la Capa de Transporte (TLS). Permite a un cliente, como un navegador web, especificar el nombre de dominio al que intenta acceder durante el protocolo TLS. Este proceso permite a un servidor web alojar varios dominios con certificados SSL/TLS individuales en una única dirección IP.
Sin SNI, los servidores no sabrían qué certificado presentar, lo que podría dar lugar a un error, provocando el fallo de la conexión. SNI desempeña un papel crucial en la solución de este problema, indicando a qué dominio se está conectando el cliente antes de que se establezca completamente la conexión.
¿Cómo funciona la indicación del nombre del servidor?
SNI forma parte del enlace TLS que se produce cuando un cliente (como un navegador) intenta establecer una conexión segura con un servidor. Aquí tienes un desglose de cómo funciona:
- El cliente envía un mensaje de “Hola Cliente” al servidor, que incluye la extensión SNI que especifica el nombre de dominio al que intenta conectarse.
- El servidor revisa el campo SNI y selecciona el certificado SSL/TLS adecuado en función del nombre de dominio solicitado.
- Una vez presentado el certificado, el apretón de manos TLS procede como de costumbre, garantizando que la conexión está encriptada y es segura.
Este proceso evita el error “common name mismatch”, en el que el certificado SSL no coincide con el nombre de dominio al que intenta acceder el cliente. SNI garantiza que se presenta el certificado correcto para cada dominio alojado en la misma dirección IP.
El problema que resuelve SNI
Antes de que se introdujera el SNI, los servidores web necesitaban direcciones IP distintas para cada dominio que utilizaba su propio certificado SSL. Esto planteaba un problema importante, especialmente con el agotamiento de las direcciones IPv4. Como IPv4 está limitado a aproximadamente 4.300 millones de direcciones únicas, muchos proveedores de alojamiento se esforzaban por acomodar múltiples dominios en un número limitado de direcciones IP.
SNI resuelve este problema permitiendo alojar varios dominios con certificados independientes en la misma dirección IP. Por ejemplo, sin SNI, una empresa como GoDaddy, que aloja millones de dominios, necesitaría una dirección IP distinta para cada dominio que utilizara HTTPS. SNI elimina esta limitación, permitiendo que un servidor aloje muchos dominios en una sola IP.
Historia y desarrollo del SNI
SNI se introdujo oficialmente en 2003 como parte de la extensión del protocolo de Seguridad de la Capa de Transporte (TLS). Al principio, no todos los navegadores y servidores soportaban SNI, pero a medida que se extendía el uso de Internet y se hacía urgente la necesidad de soluciones de alojamiento más eficientes, creció el apoyo a SNI.
Hoy en día, la mayoría de los navegadores y servidores modernos admiten SNI, lo que lo convierte en un componente fundamental de la infraestructura de alojamiento web. Sin embargo, todavía hay algunos sistemas heredados, como Windows XP y versiones antiguas de Android, que no admiten SNI, lo que puede causar problemas de compatibilidad. A pesar de ello, SNI se ha convertido en una solución estándar para alojar varios sitios web protegidos con SSL en servidores compartidos.
Ventajas de utilizar el SNI
SNI aporta varias ventajas clave tanto a los propietarios de sitios web como a los proveedores de alojamiento. Estas ventajas incluyen:
- Eficiencia de costes: Al permitir que varios dominios compartan una única dirección IP, SNI reduce la necesidad de direcciones IP adicionales. Esto es especialmente importante a la luz del problema del agotamiento de las direcciones IPv4, donde las direcciones IPv4 disponibles están disminuyendo rápidamente.
- Alojamiento simplificado: SNI hace posible que los proveedores de alojamiento sirvan muchos sitios web protegidos por SSL desde el mismo servidor y dirección IP. Esto elimina la complejidad de gestionar varias IP para distintos certificados SSL.
- Mejor asignación de recursos: Los proveedores de alojamiento pueden conservar valiosos recursos ejecutando múltiples dominios en menos servidores, todo ello manteniendo el cifrado HTTPS para cada sitio.
Además, con la adopción de IPv6 aún en curso, SNI ofrece una solución temporal pero eficaz para gestionar el creciente número de sitios web que se alojan en un conjunto limitado de direcciones IPv4.
Certificados SNI y SSL/TLS
Una de las funciones clave de SNI es permitir el uso de varios certificados SSL/TLS en un mismo servidor o dirección IP. Tradicionalmente, cuando los sitios web se alojaban en el mismo servidor, cada dominio necesitaba su propia IP dedicada para evitar conflictos SSL. Sin embargo, SNI elimina este requisito al garantizar que el certificado de cada dominio se asigna correctamente en función del nombre de host solicitado durante el handshake TLS.
SNI es compatible con varios tipos de certificados SSL, incluidos:
- Certificados SSL de dominio único: Para sitios web individuales, SNI permite que estos certificados funcionen perfectamente sin necesidad de una dirección IP única.
- Certificados SSL multidominio (SAN): SNI también puede utilizarse junto con certificados de Nombre Alternativo del Sujeto (SAN), que permiten que un único certificado cubra varios dominios. Aunque los certificados SAN pueden simplificar la gestión de SSL, suelen ser más grandes y menos flexibles que los certificados individuales emparejados con SNI.
SNI también es compatible con las últimas versiones de TLS, incluidas TLS 1.2 y TLS 1.3, lo que proporciona un cifrado y un rendimiento mejorados.
Problemas de compatibilidad con SNI
Aunque SNI es ampliamente compatible con los navegadores y sistemas operativos modernos, tiene algunos problemas de compatibilidad con sistemas antiguos. Entre ellos están las versiones antiguas de Internet Explorer en Windows XP y las versiones anticuadas de Android (pre-2.3).
Si un cliente utiliza un navegador o un sistema operativo que no admite SNI, es posible que el servidor no presente el certificado SSL correcto, lo que provocará un error de “falta de coincidencia de nombre” o una advertencia de conexión insegura.
Las soluciones para los clientes no compatibles con SNI son las siguientes:
- Asignar una dirección IP dedicada al dominio.
- Utilizar certificados multidominio (SAN) que incluyan todos los dominios relevantes en un único certificado.
Afortunadamente, el porcentaje de usuarios afectados por este problema está disminuyendo a medida que aumenta la adopción de navegadores y sistemas modernos.
Cuestiones de seguridad y privacidad relacionadas con el SNI
Aunque SNI resuelve muchos problemas de alojamiento, no está exento de problemas de seguridad y privacidad. Un riesgo notable es que SNI expone el nombre de host del sitio web durante el apretón de manos TLS. Esto podría permitir a terceros, como fisgones de la red, ver qué sitio está intentando visitar un usuario, aunque el resto de la sesión esté encriptada.
Para resolver este problema de privacidad, se introdujo el SNI cifrado (ESNI). ESNI encripta el nombre de host en el mensaje Client Hello durante el protocolo TLS, impidiendo que personas ajenas vean a qué dominio se está conectando el usuario.
Además de ESNI, tecnologías más recientes como DNS sobre HTTPS (DoH) y TLS 1.3 ofrecen mayor privacidad y seguridad, garantizando que tanto el nombre de host como los datos del usuario permanezcan encriptados desde el inicio de la conexión.
Conclusión
La Indicación de Nombre de Servidor (SNI) es una tecnología crucial que permite alojar varios sitios web protegidos por SSL en una única dirección IP, lo que resulta más rentable y flexible para los proveedores de alojamiento web. A medida que crece la demanda de certificados SSL, SNI garantiza que las empresas puedan ofrecer conexiones seguras y cifradas para varios dominios sin necesidad de direcciones IP adicionales.
Si quieres proteger tu sitio web con un certificado SSL, SSL Dragon ofrece una amplia gama de opciones asequibles, desde certificados para un solo dominio hasta certificados SSL Wildcard y SSL multidominio (SAN), para que puedas aprovechar fácilmente las ventajas del SNI y mantener a salvo tus datos y clientes.
Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.
Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10