HTTPS com SNI pode não dar muito certo para seu site

O problema não está propriamente no SNI ou no protocolo HTTPS. O problema está no fato do SNI não ser suportado por todos os clientes (bibliotecas de linguagens) e navegadores.

Seus amigos merecem saber desse conteúdo?

A maioria dos sites do mundo, que utilizam protocolo HTTPS, fazem isso por meio do SNI (Server Name Indication), com ele é possível que um servidor apresente diversos certificados de segurança no mesmo endereço IP. Até aí, isso se mostra uma vantagem!

Por que o HTTPS com SNI pode causar problemas

O problema não está propriamente no SNI ou no protocolo HTTPS. O problema está no fato do SNI não ser suportado por todos os clientes (bibliotecas de linguagens) e navegadores. Assim, quando acessam um site https, que utilize SNI no servidor, problemas podem ocorrer e o site pode não ser aberto. Resumindo a história, não é todo site da web que tem um site entregando SSL, baseado em SNI, será aberto.

De qualquer forma, toda implementação de certificado SSL necessita de um estudo e configuração devida para abrir em todos os navegadores, em dispositivos desktop ou mobile.

O principal navegador que não suporta SNI é o Explorer rodando em Windows XP (acredite, tem gente que ainda usa). Os demais navegadores podem apresentar aquela página de bloqueio com o aviso (aquele do ícone do guardinha).

nonsecure-sniMas isso não acontece sempre, ao fazer uma conexão TLS o cliente solicita um certificado digital a partir do servidor web. Uma vez que o servidor envia o certificado, caso ocorra uma correspondência a conexão continua como normal. Caso contrário, o usuário pode ser avisado da discrepância e a conexão pode abortar como a incompatibilidade pode indicar uma tentativa de ataque man-in-the-middle.

world-sni
Relação de sites HTTPS com SNI no mundo inteiro

Na prática, isto significa que um servidor HTTPS só pode servir um domínio (ou pequeno grupo de domínios) por cada endereço IP para navegação segura? Será? O tipo de certificado SSL oferecido pela iniciativa Let’s Encrypt está conseguindo resolver bem esse problema, é bom dar uma olhada.

Solução

Atribuição de um endereço IP separado para cada local aumenta o custo de hospedagem. Afinal, cada pedidos de endereços IP deve ser justificado e endereços IPv4 estão esgotados. Acaba que muitos sites são efetivamente impedidos de utilizar as comunicações seguras sobre IPv4. Já o IPv6, é um espaço de endereço que não se esgota. Então sites usando IPv6 não são afectados por este problema.

Gostou do texto? Então compartilhe.