194.25.32.74: IBM Url ist 404

2025-05-23T15:56:01Z

IBM Url ist 404

Neue Seite

'''Server Name Indication''' ('''SNI''') ist eine Erweiterung des Standards [[Transport Layer Security]] (TLS), die es ermöglicht, dass sich mehrere verschlüsselt abrufbare [[Website]]s unterschiedlicher [[Domain (Internet)|Domains]] einen ''[[Hostrechner|Server]]'' auf dem TLS Port 443 teilen, auch wenn dieser nur eine [[IP-Adresse]] besitzt. Beim Aufbau einer TLS-Verbindung fordert der ''Client'', der die Verbindung aufgebaut hat, vom ''Server'' ein [[digitales Zertifikat]] an, welches für die Verschlüsselung der Verbindung benötigt wird. Der ''Server'' sendet standardmäßig das mit seiner IP-Adresse verbundene Zertifikat zurück. Um unter einer IP-Adresse aber einen Server für verschiedene [[Uniform Resource Locator#Host|Hosts]] mit verschiedenen Zertifikaten zu betreiben, ist es erforderlich, dass der ''Client'' dem ''Server'' den gewünschten Host vor der Übermittlung des Zertifikats, also bevor über die Verbindung ein verschlüsselter Kanal aufgebaut wurde, mitteilt. SNI ist eine Erweiterung von TLS, die es dem Client erlaubt, diese Information ''unverschlüsselt'' zu übertragen.

== Hintergrund ==
Um als Nutzer die [[Authentizität]] einer Webseite im Internet zu überprüfen, verwendet man in der Regel [[Digitales Zertifikat|digitale Zertifikate]]. Da der verschlüsselte [[Übertragungskanal|Verbindungsaufbau]] zum [[Server]] bereits stattfindet, bevor die angefragte [[Uniform Resource Locator|URL]] [[Datenübertragung|übertragen]] wird, ist es mit TLS-1.0/[[Secure Sockets Layer|SSL]]-Verschlüsselung nicht möglich, mehrere Domains unter einer IP-Adresse zu nutzen (sogenanntes [[Virtual Hosting]]). Grund für diese Einschränkung ist, dass der Server bei mehreren Zertifikaten nicht weiß, welches Zertifikat, das meist nur für eine Domain gilt, er benutzen müsste. Zum Zeitpunkt der Spezifikation von SSL/TLS wurde die Möglichkeit von Virtual Hosting nicht vorgesehen.

== Verfahren ==
Im erweiterten SNI-Verfahren wird der Domainname vom Browser in dem sogenannten ''server_name''-Parameter bereits beim Verbindungsaufbau dem Server mit übergeben, sodass der Server das passende Zertifikat auswählen und beim TLS-[[Handshake]] verwenden kann.

Sogenannte „Wildcard-Zertifikate“ mit einem [[Kanonischer Name|Kanonischen Namen]] wie hier *.wikipedia.org umfassen beliebige Namen in einer Domain. Ein Zertifikat kann auch alternative Namen umfassen.<ref>{{Internetquelle |url=https://web.archive.org/web/20161002141201/http://www-01.ibm.com/support/docview.wss?uid=swg21304265 |titel=Does Domino HTTP allow SSL certificates with SubjectAltName? |hrsg=[[IBM]] |abruf=2016-10-02}}</ref> Zertifikatsanbieter verlangen für solche Zertifikate allerdings höhere Gebühren.

== Sicherheit ==
Der ''server_name''-Parameter wird unverschlüsselt übertragen und ist somit von einem Dritten, der die Verbindung belauschen kann, leicht auszuspähen. Dies verrät unter Umständen mehr Informationen als SSL/TLS ohne SNI, da das anschließend übertragene Server-Zertifikat ebenfalls die Domain(s), für die es ausgestellt wurde, im Klartext enthält. Wenn das Zertifikat für mehrere Domains gültig oder ein Wildcard-Zertifikat ist, würde der Ausspähende ohne SNI nicht den kompletten angeforderten Hostnamen erfahren. Mit ''Encrypted SNI'' (ESNI) und seinem Nachfolger ''Encrypted Client Hello'' (ECH) gibt es Ansätze, dieses Problem zu lösen.<ref>{{Internetquelle |url=https://datatracker.ietf.org/doc/html/draft-ietf-tls-esni |titel=TLS Encrypted Client Hello |titelerg=draft-ietf-tls-esni |hrsg=[[Internet Engineering Task Force]] |datum=2021-08-12 |sprache=en |abruf=2021-08-13}}</ref>

Unabhängig von SSL/TLS und HTTP können Dritte auch die abgefragte Domain in Erfahrung bringen, da zum Verbindungsaufbau die Domain mittels [[Domain Name System|DNS]] bzw. [[Domain Name System Security Extensions|DNSSEC]] aufgelöst werden muss. Der vollständige Domainname (also inklusive Subdomain) wird dabei meistens unverschlüsselt übertragen. Mit [[DNS over TLS]] oder [[DNS over HTTPS]] gibt es Ansätze, dieses Problem zu lösen.

Bei vielen, vor allem größeren Websites ist zudem eine Rückführung über die aufgerufene [[IP-Adresse]] möglich, da diese systembedingt nicht verschlüsselt werden kann. Bei mittelgroßen Websites ist dieses aber zumindest nicht für Subdomains möglich, sofern diese auf demselben Server liegen. Darüber hinaus kann dieses Problem durch die Verwendung eines [[Virtual Private Network|VPN]] abgemildert werden.
{{Siehe auch|Anonymität im Internet}}

== Unterstützte Software ==

{| class="wikitable sortable"
|-
! Software !! Typ !! Unterstützt !! Bemerkungen !! Unterstützt seit
|-
| [[Mozilla Firefox|Firefox]] || Web Browser || {{Ja-Feld}} || Ab Version 2.0<ref name="IBM i" /> || 2006
|-
| [[Google Chrome|Chrome]] || Web Browser || {{Ja-Feld}} || Seit 6.0<ref name="IBM i" /><ref name="digicert">{{Internetquelle |url=https://www.digicert.com/ssl-support/iis8-sni-browser-support.htm |titel=IIS 8 and IIS 8.5 SNI Browser Support |hrsg=DigiCert |sprache=en |abruf=2015-12-31}}</ref> || 2010
|-
| [[Internet Explorer]] || Web Browser || {{Ja-Feld}} || Ab Version 7 ab [[Microsoft Windows Vista|Windows Vista]]<ref name="IBM i" /> || 2006
|-
| [[Microsoft Edge]] || Web Browser || {{Ja-Feld}} || || 2015
|-
| [[Opera (Browser)|Opera]] || Web Browser || {{Ja-Feld}} || Ab Version 8.0<ref name="IBM i" /> || 2005
|-
| [[Apple Safari|Safari]] || Web Browser || {{Ja-Feld}} || Ab Version 3.2.1 ab [[Mac OS X Leopard]] 10.5.6 oder [[Microsoft Windows Vista|Windows Vista]]<ref name="IBM i" /> || 2008
|-
| [[Links (Browser)|ELinks]] || Web Browser || {{Nein-Feld}} || Nicht bis Version 0.12pre6 ||
|-
| [[Android (Betriebssystem)|Android]] Browser || Mobile Browser || {{Ja-Feld}} || Honeycomb (3.x) für Tablets und Ice Cream Sandwich (4.x) für Smartphones<ref>[http://code.google.com/p/android/issues/detail?id=12908#c15 code.google.com]</ref> || 2011
|-
| [[Mozilla Firefox Mobile]] || Mobile browser || {{Teilweise-Feld}} || Firefox Sync unterstützt kein SNI<ref>[https://bugzilla.mozilla.org/show_bug.cgi?id=765064 bugzilla.mozilla.org]</ref> ||
|-
| [[Blackberry OS]] || Mobile Browser || {{Ja-Feld}} || Ab Version 10 || 2013
|-
| [[Microsoft Windows Phone|Windows Phone]] || Mobile Browser || {{Ja-Feld}} || Ab Version 7<ref>[http://blogs.msdn.com/b/kaushal/archive/2012/09/04/server-name-indication-sni-in-iis-8-windows-server-2012.aspx blogs.msdn.com]</ref> || 2010
|-
| Nokia Browser for Symbian || Mobile Browser || {{Nein-Feld}} || ||
|-
| [[Apple Safari#iOS-Funktionen|Safari auf iOS]] || Mobile Browser || {{Ja-Feld}} || Seit iOS 4<ref>[http://langui.sh/2010/06/08/sni-in-ios-4-0/ langui.sh]</ref> || 2010
|-
| (Mini & Mobil[[Opera (Browser)#Mobiltelefone, Smartphones und PDAs|Operae]]) || Mobile Browser || {{Ja-Feld}} || Ab Version 10.1 auf Android || 2010
|-
| IBM HTTP Server || Web Server || {{Ja-Feld}}<ref>{{Internetquelle |url=http://publib.boulder.ibm.com/httpserv/ihsdiag/ssl_questions.html#SNI |titel=IBM HTTP Server SSL Questions and Answers |werk=Publib.boulder.ibm.com |datum= |sprache=en |abruf=2011-03-08}}</ref><ref>{{Internetquelle |url=http://www.ibm.com/developerworks/forums/thread.jspa?threadID=412433&tstart=0 |titel=IHS 8 powered by Apache 2.2.x ? |werk=Publib.boulder.ibm.com |datum= |sprache=en |abruf=2011-03-08}}</ref> || Ab Version 9.0.0 || 2016
|-
| [[Apache Tomcat]] || Web Server || {{Ja-Feld}} || Ab Version 8.5 || 2016
|-
| [[Apache HTTP Server]] || Web Server || {{Ja-Feld}} || Ab Version 2.2.12 || 2009
|-
| [[Microsoft Internet Information Services|Microsoft IIS]] || Web Server || {{Ja-Feld}} || Ab Version 8 || 2012
|-
| [[Lighttpd]] || Web Server || {{Ja-Feld}} || Ab Version 1.4.24,<ref>[http://www.lighttpd.net/2009/10/25/1-4-24-now-with-tls-sni-and-money-back-guarantee lighttpd.net]</ref> oder mit SNI-Patch<ref>[http://trac.lighttpd.net/trac/ticket/386 #386 (TLS servername extension (SNI) for namebased TLS-vhosts)]</ref> || 2009
|-
| [[Nginx]] || Web Server || {{Ja-Feld}} || Ab Version 0.5.23 || 2007
|-
| [[Jetty (Webserver)|Jetty]] || Web Server || {{Ja-Feld}} || Ab Version 9.3.0 || 2015
|-
| [[HCL Notes|HCL Domino]] || Web Server || {{Ja-Feld}} || Ab Version 11.0.1 || 2020
|-
| [[Hiawatha Webserver|Hiawatha]] || Web Server || {{Ja-Feld}} || Ab Version 8.6<ref>[https://www.hiawatha-webserver.org/changelog hiawatha-webserver.org]</ref> || 2012
|-
| [[cURL]] || Kommandozeilen Tool und Bibliothek || {{Ja-Feld}} || Ab Version 7.18.1 || 2008
|-
| [[wget]] || Kommandozeilen Tool || {{Ja-Feld}} || Ab Version 1.14 || 2012
|-
| [[Qt (Bibliothek)|Qt]] || Bibliothek || {{Ja-Feld}} || Ab Version 4.8 || 2011
|-
| Mozilla [[Network Security Services|NSS]] server side || Bibliothek || {{Nein-Feld}}<ref>{{Internetquelle |url=https://bugzilla.mozilla.org/show_bug.cgi?id=360421 |titel=Implement TLS Server Name Indication for servers |werk=Bugzilla@Mozilla |datum=2006-11-11 |sprache=en |abruf=2012-10-30}}</ref> || ||
|-
| [[4th Dimension]] || Bibliothek || {{Nein-Feld}} || Nicht bis Version 15.2 ||
|-
| [[Java-Technologie|Java]] || Bibliothek || {{Ja-Feld}} || Ab Version 1.8 || 2014
|-
| [[ColdFusion]] / Lucee || Bibliothek || {{Ja-Feld}} || ColdFusion ab Version 10 Update 18, 11 Update 7, Lucee ab Version 4.5.1.019, Version 5.0.0.50 || 2015
|-
| [[Erlang (Programmiersprache)|Erlang]] || Bibliothek || {{Ja-Feld}} || Ab Version r17 || 2013
|-
| [[Go (Programmiersprache)|Go]] || Bibliothek || {{Ja-Feld}} || Ab Version 1.4 || 2011
|-
| [[Perl (Programmiersprache)|Perl]] || Bibliothek || {{Ja-Feld}} || Seit <code>Net::SSLeay</code> Version 1.50 und <code>IO::Socket::SSL</code> Version 1.56 || 2012
|-
| [[PHP]] || Bibliothek || {{Ja-Feld}} || Ab Version 5.3 || 2014
|-
| [[Python (Programmiersprache)|Python]] || Bibliothek || {{Ja-Feld}} || Ab Version 2.7.9rc1 (2.x) und 3.2alpha4 (3.x) (in <code>ssl</code>, <code>urllib[2]</code> und <code>httplib</code>) || 2011 (3.x), 2014 (2.x)
|-
| [[Ruby (Programmiersprache)|Ruby]] || Bibliothek || {{Ja-Feld}} || Ab Version 2.0 (in <code>net/http</code>) || 2011
|-
| [[OpenBSD]] httpd || Web Server || {{Ja-Feld}} || Seit OpenBSD Version 6.1<ref>{{Internetquelle |url=https://www.openbsd.org/61.html#new |titel=OpenBSD 6.1 What’s New |werk=openbsd.org |sprache=en |abruf=2021-06-13}}</ref> || 11.04.2017
|}

== Normen und Standards ==
Anfänglich war Server Name Indication (SNI) eine optionale Protokollerweiterung ab TLS 1.0 von 1999 und in folgenden [[Request for Comments]] (RFC) standardisiert:
* {{RFC-Internet |RFC=3546 |Titel=Transport Layer Security (TLS) Extensions |Datum=2003 |Abschnitt=3.1 |Kommentar=veraltet}}
* {{RFC-Internet |RFC=6066 |Titel=Transport Layer Security (TLS) Extensions: Extension Definitions |Datum=2011 |Abschnitt=3 |Abschnittstitel=Server Name Indication}}

Seit TLS 1.3 (<nowiki>RFC 8446</nowiki> von 2018)<ref>{{RFC-Internet |RFC=8446 |Titel=The Transport Layer Security (TLS) Protocol Version 1.3 |Datum=2018-08}}</ref> gehört SNI zum Grundfunktionsumfang von TLS, wobei dieser RFC zur Detailspezifikation von SNI auf <nowiki>RFC 6066</nowiki> verweist.<ref>{{RFC-Internet |RFC=8446 |Titel=The Transport Layer Security (TLS) Protocol Version 1.3 |Datum=2018-08 |Abschnitt=9.2 |Abschnittstitel=Mandatory-to-Implement Extensions}}</ref>

== Weblinks ==
* [https://badssl.com/ Browsertest für SNI.] badssl.com

== Einzelnachweise ==
<references>
<ref name="IBM i">
{{Internetquelle
|url=https://www.ibm.com/support/knowledgecenter/ssw_ibm_i_73/rzaie/rzaieservernameSNI.htm
|titel=Server Name Indication(SNI)
|hrsg=IBM
|sprache=en
|abruf=2016-10-02}}
</ref>
</references>

[[Kategorie:Netzwerkprotokoll auf Anwendungsschicht]]
[[Kategorie:Kryptologischer Standard]]
[[Kategorie:Transport Layer Security]]

Server Name Indication - Versionsgeschichte

194.25.32.74: IBM Url ist 404