同一IP地址上運行多個(gè)證書(shū)

你需要SNI——服務(wù)器名稱(chēng)指示

什么是SNI？服務(wù)器名稱(chēng)指示是SSL的一個(gè)重要組成部分。SNI允許多個(gè)網(wǎng)站存在于同一個(gè)IP地址上。 如果沒(méi)有SNI，每個(gè)主機名都需要自己的IP地址才能安裝SSL證書(shū)。

為什么基于名稱(chēng)的主機不能很好地處理SSL

在過(guò)去的HTTP時(shí)代，解決與基于名稱(chēng)的主機在同一IP地址上托管的多個(gè)網(wǎng)站的問(wèn)題并不難。當一個(gè)客戶(hù)端請求某特定網(wǎng)站時(shí)，它使用一個(gè)唯一的HTTP頭，包括預期的主機名。作為響應，服務(wù)器將該頭部與預期的網(wǎng)站匹配并在那里傳送用戶(hù)。
可惜的是，當你使用HTTPS時(shí)是無(wú)法故技重施的。因為在客戶(hù)端和服務(wù)器之間可以建立加密連接之前，SSL需要SSL握手。包含目標主機名的HTTP頭只有在握手完成之后才能被下載，這意味著(zhù)服務(wù)器不知道要連接到哪個(gè)網(wǎng)站。

那么SNI干些什么？

服務(wù)器名稱(chēng)指示是對SSL / TLS協(xié)議的擴展，允許在單個(gè)IP地址上承載多個(gè)SSL證書(shū)。 SNI這樣做的方法是將HTTP頭插入到SSL握手中。 由于服務(wù)器可以在握手期間看到預期的主機名，因此可以將客戶(hù)端連接到請求的網(wǎng)站。
在SNI出現之前，加密每個(gè)網(wǎng)站都必須具有唯一的IP地址。這毫無(wú)疑問(wèn)十分昂貴，還具備快速消費IPv4 IP地址的意想不到的副作用。
我們知道，IP地址的數量是有限的，IPv4，為參與使用Internet協(xié)議進(jìn)行通信的計算機網(wǎng)絡(luò )的每個(gè)設備分配地址。一個(gè)IPv4的IP地址長(cháng)這樣：

世界上一共只有大約40億萬(wàn)個(gè)IPv4 IP地址，所有地址終會(huì )被消耗殆盡。在SNI出現之前，消耗的速度比現在要快得多。SNI的存在無(wú)疑是在給IPv4續命。
最終，互聯(lián)網(wǎng)將遷移到IPv6。屆時(shí)將會(huì )有超過(guò)3400億萬(wàn)個(gè)IPv6地址供人使用。

SNI的前景如何？

SNI最大的缺點(diǎn)是其擴展性。也因此，剛開(kāi)始人們并不看好這項技術(shù)。不過(guò)事實(shí)證明，這種擔憂(yōu)在很大程度上是沒(méi)有根據的。根據Akamai的說(shuō)法，今天幾乎98％的客戶(hù)要求支持HTTPS的網(wǎng)站支持SNI。