問題描述

TLS協(xié)議擴(kuò)展SNI(服務(wù)器名稱標(biāo)識(shí))字段為空,是否意味一個(gè)IP上只有一個(gè)網(wǎng)站,而不是托管了多個(gè)網(wǎng)站?

答案是肯定的。SNI字段為空，意味著服務(wù)器是獨(dú)占的，只為一個(gè)網(wǎng)站提供一對(duì)一服務(wù)。

HTTP

一個(gè)托管服務(wù)器（Host Server），如果托管的是明文的http服務(wù)，僅僅依靠Http Header里的hostname, domain這些字段，就可以分辨出客戶端想要連接哪個(gè)網(wǎng)站，從而將客戶端請(qǐng)求的網(wǎng)頁(yè)返還給客戶端。

HTTPS

為何Https就不能像Http那樣呢？為何需要一個(gè)全新的SNI字段來分辨誰才是真正的目的服務(wù)器？

因?yàn)榭蛻舳伺c托管服務(wù)器在建立TCP連接之后，緊接著進(jìn)行的是TLS安全握手，此時(shí)壓根沒有http什么事。

安全握手最關(guān)鍵的一步，是托管服務(wù)器將特定客戶服務(wù)器的證書推送給客戶端，以方便客戶端來驗(yàn)證服務(wù)器是否合法。

但是，托管服務(wù)器上可能有成百上千的客戶證書，如果客戶端不給點(diǎn)提示，托管服務(wù)器如何知道挑選哪個(gè)證書推送給客戶端？

SNI （Server Name Indication）

有了SNI字段就簡(jiǎn)單了，里面填入了目標(biāo)服務(wù)器域名，然后托管服務(wù)器就可以根據(jù)SNI字段信息做為索引，查詢數(shù)字證書數(shù)據(jù)庫(kù)，提取出對(duì)應(yīng)的證書。在Server Hello報(bào)文里以“Certificate”消息推送給客戶端，客戶端驗(yàn)證成功，最后雙方協(xié)商了一個(gè)安全的TLS加密隧道，就可以將明文的Http報(bào)文扔到TLS隧道里。

很顯然SNI字段位于TLS協(xié)議頭里，并以明文的方式呈現(xiàn)。SNI字段填入的信息，由客戶端從http里協(xié)議頭里提取，并賦值給SNI。

托管服務(wù)器上存有目標(biāo)服務(wù)器的證書私鑰嗎？

對(duì)于理論扎實(shí)的讀者，即使沒有部署過托管服務(wù)，也可以憑邏輯推理就可以知道，而完全不需要求助于別人。

密鑰分發(fā)階段，如果使用到RSA公鑰加密“Pre-Master Secret”，托管服務(wù)器需要使用私鑰才能解密并獲得明文的“Pre-Master Secret”，必須擁有明文的私鑰。握手連接時(shí)，凡是需要私鑰簽名的部分，同樣需要私鑰。

為了便利地完成這些任務(wù)，托管服務(wù)器通常都擁有目標(biāo)服務(wù)器的私鑰。

托管服務(wù)器是怎樣的存在？

逆向代理，即代理目標(biāo)服務(wù)器與客戶端通信，這個(gè)逆向代理，代理的是HTTPS安全通信。

代理服務(wù)器與目標(biāo)服務(wù)器之間的通信，同樣也使用HTTPS來完成，此時(shí)代理服務(wù)器就是客戶端，而目標(biāo)服務(wù)器是服務(wù)器。

有讀者可能會(huì)不解地問，既然代理服務(wù)器所有的數(shù)據(jù)都來源于目標(biāo)服務(wù)器，那它有什么樣的存在價(jià)值呢？

代理服務(wù)器會(huì)將一切可以緩存的靜態(tài)頁(yè)面，緩存在本地，只要這些靜態(tài)內(nèi)容沒有過期，可以直接返回客戶端，這樣就可以大大減少用戶的等待時(shí)間，同時(shí)減少對(duì)目標(biāo)服務(wù)器的重復(fù)性內(nèi)容的騷擾。

本文鏈接：http://m.51huadong.com/cloundnews/11003423.html