SSL-Certificaten hadden altijd een lastig nadeel: voor elk certificaat moest een apart IP-adres gebruikt worden. Tegenwoordig is dat niet meer nodig door een nieuwe techniek: Server Name Indication (SNI)


Het is al jarenlang geen enkel probleem om meerdere websites op één webserver onder te brengen. Browsers geven door aan de webserver van welke site ze een pagina willen opvragen, zodat de server weet welke webruimte geraadpleegd dient te worden. Dit wordt aangegeven als onderdeel van de HTTP-aanvraag naar de server toe. HTTP is ook te beveiligen met een SSL-certificaat: HTTPS. Deze zorgt voor encryptie en identificatie van de verbinding. De encryptie zorgt dat de verbinding niet afgeluisterd kan worden en de identificatie zorgt er voor dat je weet dat je met de juiste partij verbinding hebt.


Dat laatste is bijvoorbeeld nodig om je te wapenen tegen netwerkbeheerders die alle netwerkverkeer naar je bank doorstuurt naar een malafide webserver. Een malafide webserver kan geen gebruik maken van het certificaat van de officiële site, waardoor de browser van een bezoeker een waarschuwing kan geven bij het opvragen van de site vanaf een malafide webserver. Het probleem is: al die controles worden gedaan nog voordat de webbrowser tegen de webserver kan vertellen welke site hij wil hebben. De server weet dus niet welk certificaat er naar de browser gestuurd moet worden. De enige oplossing is één certificaat per IP-adres: de server ziet op welk IP-adres de verbinding binnen komt en stuurt het overeenkomstige certificaat naar de browser toe.


SNI heeft hier een oplossing voor. De browser kan nu naar de server sturen voor welke site hij een beveiligde verbinding wil opzetten. De browser moet dit natuurlijk wel ondersteunen. Gelukkig wordt SNI door elke moderne browser op een modern besturingssysteem ondersteunt. Belangrijke browsers en besturingssystemen die geen SNI ondersteunen zijn:

  • Alle versies van Microsoft Internet Explorer op Windows XP
  • Apple Safari op Windows XP
  • Blackberry OS tot en met versie 7.1
  • Windows Mobile tot en met versie 6.5
Dit zijn dus erg verouderde browsers en besturingssystemen. Het aantal bezoekers van een site dat hier gebruik van maakt is inmiddels erg laag. Halverwege 2013, toen Windows XP nog ondersteund werd door Microsoft, ging het nog maar om zo'n 8%. Inmiddels wordt Windows XP niet meer ondersteunt door Microsoft en ligt het aandeel nog veel lager.