服务器名称指示干啥用的

服务器名称指示（Server Name Indication，SNI）

一、基本概念

服务器名称指示（SNI）是TLS（传输层安全协议）协议的一个扩展功能，在传统的SSL/TLS连接过程中，客户端在建立连接时先与服务器进行握手，此时客户端不知道服务器的具体域名，因为SSL/TLS会话是在TCP连接基础上进行的，而TCP连接在建立时并不涉及域名信息，而SNI允许客户端在发起TLS握手请求之前，先向服务器发送一个包含服务器域名的字段，这样服务器就能根据这个域名来选择合适的证书和配置，从而实现在一个IP地址上为多个不同域名提供安全的HTTPS服务。

二、工作原理

1、客户端发起请求

当客户端（如浏览器）需要与服务器建立安全的HTTPS连接时，它会先解析要访问的URL，获取目标服务器的域名。

在发起TLS握手请求时，客户端会在消息中添加一个特殊的字段，即SNI字段，该字段包含了它想要访问的服务器域名。

2、服务器处理请求

服务器收到客户端的TLS握手请求后，会检查其中是否包含SNI字段。

如果包含，服务器会根据SNI字段中的域名来确定应该使用哪个虚拟主机的证书和配置，一个服务器的IP地址对应着多个不同的网站（如www.example1.com和www.example2.com），通过SNI字段，服务器可以区分客户端实际要访问的是哪一个网站，然后返回对应的证书给客户端。

3、完成握手和通信

客户端验证服务器返回的证书（基于SNI指定的域名），如果验证通过，双方就完成了TLS握手过程，建立起安全的加密通道，随后就可以进行安全的数据传输了。

三、应用场景

四、优点

1、节省IP地址和证书成本

没有SNI时，为了在服务器上为每个域名提供独立的SSL证书，通常需要为每个域名分配一个独立的IP地址，而有了SNI，多个域名可以共享同一个IP地址，只需要为每个域名准备相应的证书即可，大大减少了对IP地址的需求，同时也降低了购买和管理证书的成本。

2、提高安全性

SNI使得服务器能够更准确地识别客户端要访问的域名，从而提供与之匹配的证书，这有助于防止一些安全破绽，例如中间人攻击，因为攻击者很难伪造正确的证书来欺骗客户端，除非他们知道客户端实际要访问的域名。

五、相关问题与解答

问题1：所有客户端和服务器都支持SNI吗？

答：不是所有客户端和服务器都支持SNI，大多数现代的浏览器（如Chrome、Firefox、Safari等）都支持SNI，但在一些较旧的浏览器版本或者某些特定的设备（如一些嵌入式系统）可能不支持，对于服务器端，主流的Web服务器软件（如Nginx、Apache等）也都支持SNI，但同样，在一些老旧的服务器版本或者特定的服务器配置环境下可能不支持。

问题2：SNI是否会增加网络延迟？

答：一般情况下，SNI不会明显增加网络延迟，虽然在TLS握手过程中多了SNI字段的传输和处理，但这个过程通常是很快的，不过，在某些复杂的网络环境或者低性能的设备上，可能会有一定的微小延迟，但这种延迟通常在可接受的范围内，相比它带来的安全性和资源节省等优势，这种潜在的延迟影响相对较小。