SNIの意味について検討中でしょうか?
SNIを、一戸建てではなく集合住宅に手紙を届けるようなものと考えてみてください。一戸建ての場合、住所だけで手紙を正しい宛先に届けることができますが、集合住宅では住所に加えて部屋番号が必要です。
複数のウェブサーバは多数のドメイン名を管理しているため、IPアドレスだけでは利用者がどのドメインにアクセスしようとしているのか判別しにくくなります。これらのサーバは、一戸建てというよりも集合住宅に似ています。
登録所有者の署名がなければ手紙が届けられないのと同じく、サーバが誤ったSSL認証情報を表示すると、強固なHTTPS接続が確立できず、接続が中断される可能性があります。
ウェブサイトのセキュリティの最も重要な要素は何かご存知でしょうか?それはSSLです。SSLは利用者のデータを安全に守ることを保証します。SSL証明書には「ワイルドカード」とSNI証明書の2種類があります。本記事では、SNIの重要な点を詳しく説明します。それでは、始めましょう。
暗号化された SNI(サーバ名表示)は、TLSプロトコルの拡張機能です。TLSハンドシェイクの開始時に、クライアントやブラウザが接続先のホスト名を指定できるため、サーバは同一のIPアドレスとポート上で複数の証明書を表示できます。
以前は、ポート443(https)は共有できなかったため、各SSLサイトは専用のIPアドレスが必要でした。一部のサーバ(例:IISなど)では、複数サイトの運用が困難でしたが、SNIを有効にすることで、https暗号化ページ用の内外のIPアドレス数を削減できます。
SNIは実質的に、サイトのドメイン名やホスト名を示す機能であり、中央サーバが扱う名前と異なる場合があります。実際、1台のサーバで複数のドメインを運用するのは一般的で、その際はバーチャルホスト名と呼ばれます。
サーバ名とは、単にPCを識別するためのものです。サーバが1つのドメインのみを扱い、サーバ名がドメイン名と同一の場合を除き、通常ウェブサーバでは利用者に表示されません。
グローバルに約40億個のIPしか存在せず、全てがSSL証明書をホストできるわけではないため、IPv4ではSNIが必須の拡張機能となっています。そのため、1つのIPで複数のドメインを守るのは難しい状況です。
SNIを使用すると、既存のアドレス数にとらわれず、複数のドメインやサブドメインを登録できるようになります。
SNIが動作するには、クライアントとウェブサーバの双方が対応している必要があります。未対応の場合、訪問者はデフォルトのサイト(多くはポート443上にホスト)にアクセスします。
他のウェブサイトからのリンクやGoogle検索結果など、暗号化されていない経路でサイトへアクセスした場合、通信は暗号化されません。ただし、ほとんどのブラウザは自動的に安全な版(通常は「HTTPS://」で始まる)へ転送するため、問題となることは少ないです。
1つのIPアドレス上で、すべてのサブドメインや別ドメインに1枚のSSL証明書を利用することで、各サイトごとに証明書を取得するよりも手間や費用を削減できます。
SSL証明書を発行する機関が1社であるため、SNIホスティングは信頼性が高いです。従来のワイルドカード証明書やマルチドメイン証明書は複数のCAが関与するため、1社が侵害されるリスクがあります。
サイトのアクセスが多くても、TLSハンドシェイクは暗号化接続の開始時に一度だけ行われるため、パフォーマンスに影響を及ぼすことなくSNIホスティングが利用可能です。
インターネット上でアプリ間でやり取りされるデータは、暗号プロトコルTLSによって安全に保たれます。
例えば、セキュアな接続が始まるとブラウザに表示される南京錠アイコンは、利用者にとって親しみやすい証となっています。
メール、ファイル転送、映像/音声会議、インスタントメッセージ、VoIP、DNSやNTPなど、他のアプリにも利用可能で推奨されます。
TLSハンドシェイクの開始時に、SNIはクライアントやブラウザが接続先のホスト名を伝えることを可能にします。その結果、サーバは同一のIPアドレスとポート上で複数の証明書を表示できます。
ネットワークに接続するデバイスはホスト名で識別され、インターネットではこれが一種のドメイン名となります。ドメイン名に紐付けられたIPアドレスと共に、どちらも唯一のものです。
複数のホスト名が1台のサーバにホストされ、必ずしも同じIPアドレスを持たない場合、それはバーチャルホスト名と呼ばれます。
バーチャルリアリティが現実ではなくデジタル空間にのみ存在するのと同様に、専用のハードウェアサーバを持たないため、この技術は「バーチャル」と呼ばれます。
ほとんどの主要ブラウザがこの機能に対応しているため、利用者がどのブラウザを使用していても問題ありません。参考までに、以下のリストをご覧ください。
2003年に確立されて以来、SNIはセキュリティやSNI SSL証明書の分野で徐々に普及しています。SNIは、サイトのオンライン展開を守る際に、時間、費用、手間を削減できるため、必ずしも全てのサイト運営者が利用する必要はないものの、有用な技術です。
サイトをより安全かつ柔軟に暗号化するには、サーバ名表示が最適な選択肢です。SNI SSL証明書は高いセキュリティを提供し、従来のワイルドカード証明書よりも費用が抑えられ、管理も簡単です。複数のIPアドレスに対応できるため、一般的なSSL証明書よりも適応性に優れています。
最新情報を購読