Server Name Indication (SNI): Was steckt hinter dem Standard?

Sicherheit spielt im Internet eine sehr große Rolle. Deshalb versuchen Standards, Zertifikate und Protokolle sowohl die Nutzer als auch Server vor schädlichen Angriffen zu schützen. Eines dieser Protokolle nennt sich Transport Layer Security (TLS). Da dieses aber Probleme mit sich bringt, wurde mit der Server Name Indication (SNI) eine Erweiterung geschaffen.

Bevor man verstehen kann, warum SNI entwickelt wurde, muss man nachvollziehen, wie TLS funktioniert. Bei dem Nachfolger vom Secure Sockets Layer (SSL) findet ein sogenannter TLS-Handshake statt. Dabei tauschen Client und Server – in der Praxis also meist der Webbrowser und die Website – Informationen aus, noch bevor die eigentliche Datenübertragung beginnt. Bei diesem virtuellen Handschlag identifiziert sich der Server gegenüber dem Client und sendet auch das entsprechende Sicherheitszertifikat. Erst wenn der Client dieses verifiziert hat, nehmen beide Kommunikationspartner eine Verbindung auf und tauschen Daten aus. Fällt die Verifikation negativ aus, findet keine weitere Datenübertragung statt.

Was passiert aber, wenn mehrere Websites über eine IP-Adresse laufen, wie beim Virtual Hosting? Da sich IPv6 noch immer nicht durchgesetzt hat, arbeiten wir in einem sehr begrenzten IP-Adressrahmen, und nicht jede Domain kann eine eigene IP-Adresse für sich beanspruchen. An wen richtet der Client sein „Hello“ (der erste Schritt eines TLS-Handshakes) dann? Die Wahrscheinlichkeit, dass die falsche Website reagiert, nicht das korrekte Zertifikat – mit dem richtigen Hostnamen – sendet und die Verbindung damit nicht zustande kommt, ist groß. Deshalb ist es notwendig, dass der Client dem Server mitteilt, zu welcher Domain (Host) er eine Verbindung aufnehmen möchte. Dafür hat man die Server Name Indication eingeführt.

Wenn bei einer ungesicherten Verbindung der Fall auftritt, dass mehrere Websites über eine IP-Adresse laufen, hat man das Problem prinzipiell nicht. In

HTTP

ist es vorgesehen, dass der Hostname beim Anfordern einer Website in einem Header angegeben ist. Bei TLS muss aber der Handshake geschehen, bevor der Webbrowser diese Angabe überhaupt versenden kann. Die Server Name Indication sorgt dafür, dass der Hostname bereits vor dem Zertifikatsaustausch zwischen Server und Client übermittelt wird.

SNI ist eine Erweiterung zu TLS. Das Verschlüsselungsprotokoll ist Teil des TCP/IP-Protokollstapels. Als solcher erweitert TLS das Transmission Control Protocol (TCP) um eine Verschlüsselung. Durch die zusätzliche Schicht wird außerdem aus HTTP HTTPS. Hat man TLS durch die Server Name Indication erweitert, stellt das Sicherheitsprotokoll beim Handshake ein weiteres Feld zur Verfügung: Unter dem Feld ClientHelloExtension findet man das optionale Feld ServerName. In dieses Feld trägt der Client (und das übernimmt der Webbrowser automatisch) den Namen des Hosts ein, den er ansprechen möchte. So ist gesichert, dass der richtige Host antwortet.

Als gewöhnlicher Internetnutzer sollte man von den Vorgängen rund um SNI gar nichts mitbekommen. In den meisten Fällen müssen Nutzer dafür nichts installieren oder einstellen. Es reicht vollkommen, wenn Sie ein aktuelles Betriebssystem und einen modernen Browser verwenden. Firefox, Chrome, Edge, Opera und Safari unterstützen die Erweiterung standardmäßig. Einzig Nutzern, die noch Windows XP (oder sogar ältere Windows-Versionen) nutzen und darin den Internet Explorer verwenden, steht Server Name Indication nicht zur Verfügung. Sollte man sich immer noch auf dem inzwischen nicht mehr mit Updates unterstützen Betriebssystem bewegen, hat man jedoch die Möglichkeit, einen anderen Browser einzusetzen, der SNI unterstützt. Auch die meisten mobilen Browser verwenden SNI.

Server Name Indication hat nicht nur Vorteile. Zum einen wird SNI nicht von allen Webbrowsern unterstützt – dies betrifft allerdings nur eine zugegebenermaßen geringe Zahl von Nutzern. Dass es sich bei SNI aber nicht um ein perfektes Modell handelt, sondern nur um eine Übergangslösung, erkennt man daran, dass Informationen unverschlüsselt übermittelt werden. Es ist zwar nur der Hostname, aber auch diese Information sollte bei einer gründlichen Verschlüsselung nicht von Dritten abgegriffen werden können. Mehr Sicherheit ist also gegeben, wenn man kein SNI einsetzen muss und jede Website ihre eigene IP-Adresse erhält.

Da sich dies aufgrund des knappen IP-Adressrahmens (zumindest bis IPv6 global eingeführt wird) nicht ändern lässt, muss man andere Möglichkeiten finden. Eine dieser Möglichkeiten stellt SNI dar. Eine andere wären Subject-Alternative-Name-Zertifikate (SAN): Bei diesen Zertifikaten hat man die Möglichkeit, mehrere Domains bzw. Hostnamen einzutragen. Das würde im Umkehrschluss bedeuten, dass es für den Server egal ist, welche Domain der Client tatsächlich ansprechen möchte, denn das Zertifikat ist für alle Domains auf dem Server gültig. Der Nachteil dieser Zertifikate ist aber, dass sie vergleichsweise kostspielig sind. Deshalb sind viele Website-Betreiber verständlicherweise nicht bereit, solche Zertifikate zu implementieren. Statt also gar keine Verschlüsselung einzusetzen, stellt SNI eine gute Zwischenlösung dar.