Skip to content
EN

SNI: определение, применение и примеры

Коротко:

SNI (Server Name Indication) — расширение TLS, которое позволяет клиенту указать hostname в начале TLS-рукопожатия. Без SNI один IP-адрес не мог бы обслуживать несколько HTTPS-сайтов с разными сертификатами. Обязательно для virtual hosting. Поддерживают все современные браузеры и SSL-библиотеки.

Проверить SSL своего сайта →

Что такое SNI

SNI (Server Name Indication) — расширение TLS, которое позволяет клиенту указать hostname в начале TLS-рукопожатия. Без SNI один IP-адрес не мог бы обслуживать несколько HTTPS-сайтов с разными сертификатами. Обязательно для virtual hosting. Поддерживают все современные браузеры и SSL-библиотеки.

Проверить SNI онлайн

Открыть инструмент →

Примеры использования SNI в различных операционных системах

SNI (Server Name Indication) используется для указания хостнейма в начале TLS-рукопожатия. Ниже приведены примеры настройки SNI в различных операционных системах.

Linux: для настройки SNI в Linux можно использовать OpenSSL. Например, команда openssl s_client -connect example.com:443 -servername www.example.com позволяет выполнить TLS-рукопожатие с указанием хостнейма.

Windows: в Windows можно использовать PowerShell для настройки SNI. Например, команда Invoke-WebRequest -Uri https://example.com -ServerName www.example.com позволяет выполнить запрос с указанием хостнейма.

macOS: в macOS можно использовать команду curl для настройки SNI. Например, команда curl -L https://example.com --server-name www.example.com позволяет выполнить запрос с указанием хостнейма.

Влияние SNI на безопасность и производительность

SNI (Server Name Indication) имеет значительное влияние на безопасность и производительность веб-сайтов.

Безопасность: SNI позволяет одному IP-адресу обслуживать несколько HTTPS-сайтов с разными сертификатами. Это упрощает управление сертификатами и снижает риск ошибок при их установке. Однако, если сертификат скомпрометирован, злоумышленник может получить доступ ко всем сайтам, обслуживаемым с этого IP-адреса.

Производительность: использование SNI может повысить производительность веб-сайтов, особенно в условиях высокой нагрузки. Это связано с тем, что SNI позволяет оптимизировать распределение трафика между несколькими сайтами, обслуживаемыми с одного IP-адреса.

Важно отметить, что SNI является обязательным для virtual hosting и поддерживается всеми современными браузерами и SSL-библиотеками.

Проблемы и ограничения SNI

SNI (Server Name Indication) имеет некоторые проблемы и ограничения, которые следует учитывать при его использовании.

Проблемы: одной из основных проблем SNI является возможность атаки посредника (MITM). Злоумышленник может перехватить TLS-рукопожатие и подменить хостнейм, что может привести к компрометации данных пользователя.

Кроме того, SNI может вызвать проблемы с совместимостью в некоторых устаревших браузерах или устройствах. В таких случаях может потребоваться использование альтернативных методов настройки виртуального хостинга.

Ограничения: SNI не всегда обеспечивает полную безопасность. Например, если сертификат сайта скомпрометирован, злоумышленник может получить доступ ко всем сайтам, обслуживаемым с этого IP-адреса, даже если они используют разные хостнеймы.

Также стоит учесть, что некоторые провайдеры могут ограничивать использование SNI из-за технических ограничений или политики безопасности.

СертификатСрок, издатель, домены (SAN)
ЦепочкаПроверка промежуточных и корневых CA
TLS-протоколВерсия TLS и набор шифров
УязвимостиHeartbleed, POODLE, слабые шифры

Почему нам доверяют

TLS 1.3
поддержка
Полная
цепочка CA
<2с
результат
30/14/7
дней до истечения

Как это работает

1

Введите домен

2

Проверка цепочки TLS

3

Дата истечения и уязвимости

Что проверяет SSL-тест?

SSL/TLS — протокол шифрования, который защищает данные между браузером и сервером. Наш инструмент анализирует сертификат, цепочку доверия, версию TLS и известныеуязвимости.

Детали сертификата

Издатель, срок действия, алгоритм подписи, покрываемые домены (SAN) и тип валидации (DV/OV/EV).

Цепочка доверия

Проверка полной цепочки: от конечного сертификата через промежуточные до корневого CA.

Анализ TLS

Версия протокола (TLS 1.2/1.3), набор шифров, поддержка Perfect Forward Secrecy (PFS).

Оповещения об истечении

Создайте монитор — получайте уведомления в Telegram и email за 30/14/7 дней до истечения.

DV vs OV vs EV сертификаты

DV (Domain Validation)
  • Подтверждение только владения доменом
  • Выдаётся за минуты автоматически
  • Бесплатно через Let's Encrypt
  • Подходит для большинства сайтов
  • Самый распространённый тип
OV / EV
  • Проверка организации (OV) или расширенная проверка (EV)
  • Выдаётся за 1-5 рабочих дней
  • Стоимость от $50 до $500/год
  • Для финансов, e-commerce, госсайтов
  • Повышает доверие пользователей

Кому это нужно

DevOps

мониторинг SSL-сертификатов

Безопасность

аудит TLS-конфигурации

SEO

HTTPS как фактор ранжирования

E-commerce

доверие покупателей

Частые ошибки

Истёкший сертификатБраузеры блокируют сайт с истёкшим SSL. Настройте автопродление или мониторинг.
Неполная цепочка сертификатовБез промежуточного CA некоторые браузеры и боты не смогут верифицировать сертификат.
Mixed content на HTTPS-сайтеHTTP-ресурсы на HTTPS-странице — замок в браузере пропадает, снижается доверие.
Использование TLS 1.0/1.1Устаревшие версии TLS содержат известные уязвимости. Используйте TLS 1.2+ или 1.3.
Несовпадение домена в сертификатеСертификат должен покрывать все домены сайта, включая www и поддомены.

Лучшие практики

Настройте автопродлениеLet's Encrypt + certbot с cron — сертификат обновляется автоматически каждые 60-90 дней.
Включите HSTSЗаголовок Strict-Transport-Security заставляет браузер всегда использовать HTTPS.
Используйте TLS 1.3TLS 1.3 быстрее (1-RTT handshake) и безопаснее — убраны устаревшие шифры.
Мониторьте срок действияСоздайте монитор на Enterno.io — получайте уведомления задолго до истечения.
Проверяйте цепочку после обновленияПосле обновления сертификата убедитесь, что промежуточные сертификаты установлены.

Получите больше с бесплатным аккаунтом

Мониторинг SSL-сертификатов, история проверок и уведомления за 30 дней до истечения.

Зарегистрироваться (FREE)

Больше по теме

Часто задаваемые вопросы

Нужно ли мне SNI?

См. раздел применения выше. Для быстрой проверки — используйте нашу форму.

Запустить инструмент, который описан в этой статье

Бесплатный тариф — 10 мониторов, проверки каждые 5 мин, без карты. Платные тарифы — интервал от 1 минуты и проверки из нескольких регионов.