Qu’est-ce que le SNI (Server Name Indication) et comment fonctionne-t-il ?

Dernière mise à jour le par Dionisie Gitlan

L’exploitation de plusieurs sites web HTTPS sous la même adresse IP est aujourd’hui une pratique normale. Mais cela n’a pas toujours été le cas. Au départ, vous aviez besoin d’une adresse IP dédiée pour chaque domaine que vous souhaitiez sécuriser. Cependant, l’arrivée de l’indication du nom du serveur (SNI) a modifié l’ensemble du paysage SSL.

Dans cet article, nous expliquons ce qu’est le SNI, comment il fonctionne et pourquoi vous pouvez en avoir besoin. Pour mieux comprendre l’ensemble du processus, il faut remonter le temps avant la création du SNI.

Table des matières

  1. Avant SNI : les hôtes basés sur le nom et leur incompatibilité avec HTTPS
  2. Qu’est-ce que le SNI ?
  3. Pourquoi utiliser SNI ?
  4. Comment fonctionne le SNI ?
  5. Quels sont les avantages de la SNI ?
  6. Quelles sont les différences entre SNI et SAN ?
  7. Certificats Wildcard et certificats SNI
  8. Quels sont les navigateurs qui supportent le SNI ?
  9. Y a-t-il des inconvénients à la SNI ?
  10. Pourquoi le SNI n’est-il pas plus répandu ?
  11. Qu’est-ce que le SNI crypté (ESNI) ?

Avant SNI : les hôtes basés sur le nom et leur incompatibilité avec HTTPS

Il y a plus de dix ans, seule une petite partie des sites web utilisait le protocole HTTPS. HTTP était toujours le roi. Aujourd’hui, si vous souhaitez héberger plusieurs sites web HTTP sur la même adresse IP, vous pouvez utiliser des hôtes basés sur le nom. Par exemple, si vous gérez trois sites HTTP sur la même adresse IP, lorsqu’un utilisateur se connecte à un site particulier, il utilise un en-tête HTTP unique qui contient le nom d’hôte. En réponse, votre serveur identifie et fait correspondre cet en-tête et envoie à l’utilisateur la destination souhaitée.

Cette approche fonctionne jusqu’à ce que le protocole HTTPS entre en jeu, puis elle ne fonctionne plus. Étant donné que le protocole SSL/TLS nécessite une prise de contact pour établir une connexion sécurisée entre un client et un serveur, l’en-tête HTTP contenant le nom d’hôte nécessaire ne peut pas être téléchargé avant que la prise de contact ne soit terminée. Le serveur ne sait tout simplement pas quel site web correspondre et vers lequel renvoyer l’utilisateur. C’est ici que la SNI vient à la rescousse.

Qu’est-ce que le SNI ?

SNI est une extension du protocole TLS (Transport Layer Security) qui permet à plusieurs sites web de partager la même adresse IP. Il permet aux serveurs web d’héberger plusieurs certificats SSL/TLS sur la même IP, un avantage essentiel pour les sites qui utilisent HTTPS pour crypter leur communication avec les utilisateurs.

Nous savons tous que TLS est le protocole cryptographique qui sécurise les données sensibles lors de leur transport (et si vous ne le savez pas, voici un bref aperçu technique des certificats SSL/TLS), mais en soi, dans certaines situations, TLS est loin d’être parfait. L’une de ces situations essentielles est l’utilisation de plusieurs certificats SSL sur la même adresse IP. TLS ne peut pas le faire sans l’aide d’une extension.

Tout comme les extensions de votre navigateur ajoutent de nouvelles caractéristiques et de meilleures fonctionnalités, SNI est une extension du protocole TLS/SSL qui permet aux utilisateurs d’héberger plusieurs certificats SSL sur une seule adresse IP. Pour ce faire, SNI insère l’en-tête HTTP dans la poignée de main SSL/TLS.

Avant que SNI ne devienne une extension de TLS en 2003, chaque site web que vous vouliez crypter nécessitait une adresse IP unique. Cela a entraîné des coûts considérables, mais aussi, ce qui est plus inquiétant, une consommation rapide des adresses IPv4. Les adresses IP uniques ne sont pas infinies. Par exemple, le protocole Internet version 4 compte environ quatre milliards d’adresses.

Avant l’apparition du SNI, on craignait vraiment que les adresses IPv4 ne soient épuisées avant l’arrivée du nouvel IPv6. Le SNI a réussi à apaiser ces craintes et à ralentir l’épuisement de l’IPv4. Autre bonne nouvelle, l’IPv6 compte environ 340 milliards d’adresses. C’est 340 suivi de 36 zéros. Ce montant devrait être suffisant pour l’avenir prévisible.

Pourquoi utiliser SNI ?

SNI permet aux propriétaires de sites web de sécuriser les communications avec leurs utilisateurs et leurs clients en facilitant la gestion des certificats SSL. Sans SNI, chaque site web aurait besoin d’une adresse IP unique pour utiliser le cryptage HTTPS, ce qui pourrait s’avérer coûteux pour les petites entreprises et les sociétés au budget serré.

SNI facilite également la gestion des sites web, car les serveurs web peuvent désormais héberger plusieurs certificats SSL/TLS sur la même adresse IP. Cela signifie que les propriétaires de sites web peuvent facilement ajouter ou supprimer des sites web de leurs comptes d’hébergement.

Comment fonctionne le SNI ?

Lorsque vous visitez un site web via HTTPS, votre navigateur web et le serveur du site web doivent établir une connexion sécurisée par le biais de la poignée de main SSL/TLS. Au cours de ce processus, le navigateur web envoie au serveur un message contenant le nom d’hôte du site web.

Dans le cas de SNI, le nom d’hôte du site web est inclus dans le message Client Hello, ce qui permet au serveur de sélectionner le bon certificat à utiliser dans le message Server Hello. Le serveur peut donc héberger plusieurs certificats SSL sur la même adresse IP.

La plupart des serveurs web et des navigateurs modernes prennent en charge le SNI, mais les versions plus anciennes peuvent ne pas le faire. Dans ce cas, le navigateur web peut recevoir un certificat SSL générique au lieu du certificat correct, ce qui peut entraîner l’apparition d’avertissements ou d’erreurs.

Quels sont les avantages de la SNI ?

SNI a changé tout le paysage de l’hébergement en ce qui concerne l’installation et la gestion des certificats SSL. Voici ses principaux avantages :

  • Hébergement multi-domaines. Avec SNI, vous pouvez héberger et sécuriser plusieurs sites web sur un seul serveur et une seule adresse IP. SNI réduit considérablement les coûts d’hébergement et rationalise la gestion du SSL.
  • Flexibilité. SNI permet d’ajouter ou de supprimer des sites web d’un serveur sans avoir à reconfigurer le serveur ou à obtenir des adresses IP supplémentaires.
  • Meilleure utilisation des ressources. Le SNI permet une meilleure utilisation des ressources telles que les adresses IP, qui peuvent être rares et coûteuses. En hébergeant plusieurs sites sur la même adresse IP, vous ralentissez l’épuisement de l’IPv4, le protocole de base qui nous permet de nous connecter au web.

Quelles sont les différences entre SNI et SAN ?

SNI et SAN sont deux méthodes permettant de prendre en charge plusieurs certificats SSL sur un seul serveur. Cependant, ils diffèrent dans la manière dont ils fournissent ce soutien. La principale différence entre SNI et SAN est que SNI est une technologie côté serveur, tandis que SAN est une fonctionnalité de certificat.

Comme vous le savez déjà, SNI permet à un serveur web d’héberger plusieurs certificats sur une seule adresse IP. Lorsqu’un client se connecte au serveur, SNI permet au serveur de déterminer le certificat à utiliser en fonction du nom de domaine fourni par le client dans la demande initiale.

Les SAN, en revanche, sont une caractéristique des certificats SSL qui permet à un seul certificat de sécuriser plusieurs noms de domaine dans le cadre d’une installation. Un certificat SAN comprend une liste de noms de domaine supplémentaires (également connus sous le nom de Subject Alternative Names) que vous pouvez protéger avec le même certificat.

En ce qui concerne la compatibilité, la plupart des navigateurs web et des serveurs modernes supportent SNI et SAN. Toutefois, certains systèmes existants pourraient être incompatibles avec eux.

Certificats Wildcard et certificats SNI

Un certificat SSL Wildcard sécurise un domaine et tous ses sous-domaines (illimités) sous un seul certificat SSL. Le wildcard est une autre caractéristique des certificats SSL, tout comme les SAN. Il est pratique et rentable d’opter pour un SSL Wildcard si votre site web comporte plusieurs sous-domaines tels que new.yourwebsite.com ou blog.yourwebsite.com.

Les certificats SNI n’existent pas car le SNI n’est pas une caractéristique intrinsèque des certificats SSL mais une extension TLS du côté du serveur. Si votre serveur supporte SNI, vous pouvez ajouter n’importe quel type de SSL sur plusieurs domaines avec la même adresse IP.

Quels sont les navigateurs qui supportent le SNI ?

SNI est désormais compatible avec 99% des navigateurs et tous les principaux systèmes de serveurs. Chrome, Mozilla, Opera, Safari et d’autres navigateurs moins connus supportent tous le SNI. Vous pouvez mettre en œuvre SNI sur Apache, Nginx, Ubuntu, Debian, CentOS et de nombreux autres systèmes courants. Open SSL, GnutTLS, Python, Oracle et Java sont quelques-unes des bibliothèques qui prennent en charge le SNI. Lorsque vous devez sécuriser plusieurs sites web sur une seule adresse IP, utilisez SNI à votre avantage.

Que se passe-t-il si le navigateur Web ne prend pas en charge le SNI ?

Si un navigateur web ne prend pas en charge SNI, il ne pourra pas établir de connexion sécurisée avec un serveur qui utilise SNI pour héberger plusieurs certificats SSL/TLS. Par conséquent, l’utilisateur ne pourra pas accéder au site web. De plus, l’utilisateur recevra un message d’erreur indiquant que le site web en question n’est pas sécurisé.

Y a-t-il des inconvénients à la SNI ?

Si le SNI présente des avantages significatifs, il n’en reste pas moins quelques inconvénients potentiels. La première est que la solution SNI peut être plus lente que l’utilisation d’une adresse IP dédiée ou d’une solution non SNI. En effet, le serveur doit effectuer une étape supplémentaire pour identifier le bon certificat SSL/TLS afin d’établir une connexion sécurisée.

Un autre inconvénient est que tous les navigateurs et serveurs ne prennent pas en charge le SNI. Si vous utilisez un navigateur ou une plateforme ancienne, vous risquez d’être confronté à des problèmes de compatibilité, ce qui peut entraîner des erreurs ou des failles de sécurité.

Pourquoi le SNI n’est-il pas plus répandu ?

Certaines organisations préfèrent utiliser des adresses IP dédiées pour des raisons de sécurité. Ces mesures peuvent fournir une protection supplémentaire contre les cyberattaques telles que l’usurpation d’adresse IP. De nombreux systèmes existants ne prennent pas en charge le SNI, ce qui constitue également un facteur. Cependant, à mesure que le cryptage devient omniprésent, la mise en œuvre du SNI est de plus en plus répandue.

Qu’est-ce que le SNI crypté (ESNI) ?

Le SNI crypté (ESNI) est une nouvelle technologie conçue pour remédier à certaines des vulnérabilités potentielles en matière de sécurité associées au SNI. ESNI crypte les informations SNI afin qu’elles ne puissent pas être interceptées par des tiers, protégeant ainsi la vie privée de l’utilisateur et empêchant les pirates d’espionner le processus d’échange TLS afin de déterminer les sites web visités par les utilisateurs.

L’ESNI n’est pas encore largement pris en charge par les navigateurs et les serveurs web.

Quels sont les navigateurs qui prennent en charge l’ESNI ?

Actuellement, Firefox est le seul navigateur populaire à offrir un support SNI.

Conclusion

Cet article traite de l’indication du nom du serveur sous tous les angles et aspects. Maintenant que vous savez ce qu’est le SNI, vous pouvez l’adopter pour vos sites web et vos projets. La plupart des systèmes sont compatibles avec SNI, car il s’agit d’une extension essentielle dans l’environnement d’hébergement web d’aujourd’hui. HTTPS étant la nouvelle norme Web, SNI facilite la migration à partir du protocole HTTP obsolète.

Economisez 10% sur les certificats SSL en commandant aujourd’hui!

Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10

Économisez 10% dès maintenant!
Rédigé par

Rédacteur de contenu expérimenté spécialisé dans les certificats SSL. Transformer des sujets complexes liés à la cybersécurité en un contenu clair et attrayant. Contribuer à l'amélioration de la sécurité numérique par des récits percutants.

Articles connexes
Certificat SSL sans nom de domaine. Est-ce possible ?
10 tendances de l’hébergement web pour 2024
Qu’est-ce qu’une IP dédiée et en avez-vous besoin ?
Qu’est-ce qu’un certificat SSL partagé et comment l’utiliser ?
Certificat client et certificat serveur : Quelle est la différence ?