Qu’est-ce que le SNI (Server Name Indication) ?

SNI (Server Name Indication)

L’indication du nom du serveur (SNI) est un élément essentiel du protocole TLS, qui permet à plusieurs sites web dotés de certificats SSL distincts de partager une seule adresse IP. Il n’est donc plus nécessaire d’avoir des adresses IP distinctes pour chaque domaine, ce qui rend l’hébergement web plus efficace et plus rentable. Avant SNI, l’hébergement de sites sécurisés par SSL nécessitait plusieurs adresses IP, ce qui augmentait les coûts et la complexité. Désormais, les entreprises peuvent sécuriser plusieurs domaines sur un seul serveur.

Dans cet article, nous vous expliquons ce qu’est le SNI, comment il fonctionne, ses avantages et pourquoi il est devenu essentiel pour héberger efficacement des sites web sécurisés.


Table des matières

  1. Qu’est-ce que le SNI (Server Name Indication) ?
  2. Comment fonctionne l’indication du nom du serveur ?
  3. Le problème résolu par la SNI
  4. Histoire et développement du SNI
  5. Avantages de l’utilisation du SNI
  6. Certificats SNI et SSL/TLS
  7. Problèmes de compatibilité avec le SNI
  8. Préoccupations en matière de sécurité et de protection de la vie privée liées au SNI

Qu’est-ce que le SNI (Server Name Indication) ?

L’indication du nom du serveur (SNI) est une extension du protocoleTLS (Transport Layer Security). Elle permet à un client, tel qu’un navigateur web, de spécifier le nom de domaine qu’il tente d’atteindre au cours de la poignée de main TLS. Ce processus permet à un serveur web d’héberger plusieurs domaines avec des certificats SSL/TLS individuels sur une seule adresse IP.

Sans SNI, les serveurs ne sauraient pas quel certificat présenter, ce qui pourrait entraîner une erreur et faire échouer la connexion. SNI joue un rôle crucial dans la résolution de ce problème en indiquant le domaine auquel le client se connecte avant que la connexion ne soit complètement établie.


Comment fonctionne l’indication du nom du serveur ?

Le SNI fait partie de la poignée de main TLS qui se produit lorsqu’un client (comme un navigateur) tente d’établir une connexion sécurisée avec un serveur. Voici comment cela fonctionne :

  1. Le client envoie un message Client Hello au serveur, qui comprend l’extension SNI spécifiant le nom de domaine auquel il essaie de se connecter.
  2. Le serveur examine le champ SNI et sélectionne le certificat SSL/TLS approprié en fonction du nom de domaine demandé.
  3. Une fois le certificat présenté, la poignée de main TLS se déroule comme d’habitude, garantissant que la connexion est cryptée et sécurisée.

Ce processus permet d’éviter l’erreur “common name mismatch”, où le certificat SSL ne correspond pas au nom de domaine que le client tente d’atteindre. SNI veille à ce que le certificat correct soit présenté pour chaque domaine hébergé sur la même adresse IP.


Le problème résolu par la SNI

Avant l’introduction de SNI, les serveurs web nécessitaient des adresses IP distinctes pour chaque domaine utilisant son propre certificat SSL. Cela posait un problème important, surtout avec l’épuisement des adresses IPv4. L’IPv4 étant limité à environ 4,3 milliards d’adresses uniques, de nombreux fournisseurs d’hébergement se sont efforcés d’héberger plusieurs domaines sur un nombre limité d’adresses IP.

SNI résout ce problème en permettant à plusieurs domaines dotés de certificats distincts d’être hébergés sur la même adresse IP. Par exemple, sans SNI, une société comme GoDaddy, qui héberge des millions de domaines, aurait besoin d’une adresse IP distincte pour chaque domaine utilisant HTTPS. SNI supprime cette limitation et permet à un serveur d’héberger de nombreux domaines sur une seule adresse IP.


Histoire et développement du SNI

SNI a été officiellement introduit en 2003 dans le cadre de l’extension du protocole Transport Layer Security (TLS). Au départ, tous les navigateurs et serveurs ne prenaient pas en charge le SNI, mais à mesure que l’utilisation de l’internet s’est développée et que le besoin de solutions d’hébergement plus efficaces s’est fait sentir, le SNI est devenu de plus en plus populaire.

Aujourd’hui, la plupart des navigateurs et des serveurs modernes prennent en charge le SNI, ce qui en fait un élément fondamental de l’infrastructure d’hébergement web. Toutefois, certains systèmes anciens, tels que Windows XP et les anciennes versions d’Android, ne prennent pas en charge le SNI, ce qui peut entraîner des problèmes de compatibilité. Malgré cela, SNI est devenu une solution standard pour l’hébergement de plusieurs sites web sécurisés par SSL sur des serveurs partagés.


Avantages de l’utilisation du SNI

Le SNI apporte plusieurs avantages clés aux propriétaires de sites web et aux fournisseurs d’hébergement. Ces avantages sont les suivants

  • Rentabilité: En permettant à plusieurs domaines de partager une même adresse IP, le SNI réduit le besoin d’adresses IP supplémentaires. Cet aspect est particulièrement important compte tenu du problème d’épuisement des adresses IPv4, dont le nombre diminue rapidement.
  • Hébergement simplifié: SNI permet aux fournisseurs d’hébergement de desservir de nombreux sites web protégés par SSL à partir du même serveur et de la même adresse IP. Cela élimine la complexité de la gestion de plusieurs adresses IP pour différents certificats SSL.
  • Amélioration de l’allocation des ressources: Les fournisseurs d’hébergement peuvent conserver des ressources précieuses en faisant fonctionner plusieurs domaines sur moins de serveurs, tout en maintenant le cryptage HTTPS pour chaque site.

En outre, l’adoption de l’IPv6 étant toujours en cours, le SNI offre une solution temporaire mais efficace pour gérer le nombre croissant de sites web hébergés sur un pool limité d’adresses IPv4.


Certificats SNI et SSL/TLS

L’un des rôles clés de SNI est de permettre l’utilisation de plusieurs certificats SSL/TLS sur un seul serveur ou une seule adresse IP. Traditionnellement, lorsque les sites web étaient hébergés sur le même serveur, chaque domaine avait besoin de sa propre adresse IP dédiée pour éviter les conflits SSL. Toutefois, SNI élimine cette exigence en veillant à ce que le certificat de chaque domaine soit correctement attribué sur la base du nom d’hôte demandé au cours de l’échange TLS.

SNI est compatible avec différents types de certificats SSL, y compris :

  • Certificats SSL à domaine unique: Pour les sites web individuels, SNI permet à ces certificats de fonctionner de manière transparente sans nécessiter d’adresse IP unique.
  • Certificats SSL multi-domaines (SAN): SNI peut également être utilisé avec des certificats Subject Alternative Name (SAN), qui permettent à un seul certificat de couvrir plusieurs domaines. Bien que les certificats SAN puissent simplifier la gestion de SSL, ils ont tendance à être plus volumineux et moins flexibles que les certificats individuels associés à SNI.

SNI prend également en charge les dernières versions de TLS, y compris TLS 1.2 et TLS 1.3, ce qui permet d’améliorer le chiffrement et les performances.


Problèmes de compatibilité avec le SNI

Si le SNI est largement pris en charge par les navigateurs et les systèmes d’exploitation modernes, il est confronté à certains problèmes de compatibilité avec les systèmes plus anciens. Il s’agit notamment des anciennes versions d’Internet Explorer sur Windows XP et des versions obsolètes d’Android (avant la version 2.3).

Si un client utilise un navigateur ou un système d’exploitation qui ne prend pas en charge SNI, le serveur peut ne pas présenter le bon certificat SSL, ce qui entraîne une erreur “name mismatch” ou un avertissement de connexion non sécurisée.

Les solutions de contournement pour les clients ne supportant pas le SNI sont les suivantes :

  • Attribuer une adresse IP dédiée au domaine.
  • Utiliser des certificats multi-domaines (SAN) qui incluent tous les domaines pertinents dans un seul certificat.

Heureusement, le pourcentage d’utilisateurs concernés par ce problème diminue au fur et à mesure de l’adoption de navigateurs et de systèmes modernes.


Si SNI résout de nombreux problèmes d’hébergement, il n’est pas sans poser des problèmes de sécurité et de respect de la vie privée. L’un des risques notables est que SNI révèle le nom d’hôte du site web lors de l’échange TLS. Cela pourrait permettre à des tiers, tels que des oreilles indiscrètes, de voir quel site un utilisateur tente de visiter, même si le reste de la session est crypté.

Pour résoudre ce problème de confidentialité, le SNI crypté (ESNI) a été introduit. ESNI crypte le nom d’hôte dans le message Client Hello pendant l’échange TLS, empêchant ainsi les personnes extérieures de voir à quel domaine l’utilisateur se connecte.

Outre l’ESNI, de nouvelles technologies telles que DNS over HTTPS (DoH) et TLS 1.3 offrent une confidentialité et une sécurité accrues, garantissant que le nom d’hôte et les données de l’utilisateur restent cryptés dès le début de la connexion.


En conclusion

Server Name Indication (SNI) est une technologie cruciale qui permet d’héberger plusieurs sites web sécurisés par SSL sur une seule adresse IP, ce qui est plus rentable et plus flexible pour les fournisseurs d’hébergement web. Alors que la demande de certificats SSL augmente, le SNI permet aux entreprises de fournir des connexions sécurisées et cryptées pour plusieurs domaines sans avoir besoin d’adresses IP supplémentaires.

Si vous cherchez à sécuriser votre site web avec un certificat SSL, SSL Dragon offre une large gamme d’options abordables, des certificats pour un seul domaine aux certificats Wildcard SSL et Multi-Domain SSL (SAN), vous permettant ainsi de profiter facilement de SNI tout en assurant la sécurité de vos données et de vos clients.

Economisez 10% sur les certificats SSL en commandant aujourd’hui!

Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

Rédigé par

Rédacteur de contenu expérimenté spécialisé dans les certificats SSL. Transformer des sujets complexes liés à la cybersécurité en un contenu clair et attrayant. Contribuer à l'amélioration de la sécurité numérique par des récits percutants.