O que é um Certificado SNI para SSL?

A certificação SSL é necessária para tornar seu site e/ou sistema confiável para outros usuários e garantir que a conexão não seja interceptada no meio do caminho por invasores, pois toda conexão realizada entre seu navegador e o servidor são criptografadas.

Os algorítimos de criptografia são praticamente os mesmos há anos, e a metodologia de conexão sempre foi a mesma até pouco tempo atrás, com o surgimento dos novos certificados do tipo SNI (Server Name Indication).

Antes para você ter um site, você precisava ter seu computador ligado 24 horas por dia na internet e disponibilizar seu conteúdo.



Com a crescente demanda de usuários, surgiram data-centers para uso de pequenas empresas e principalmente grandes empresas e portais na internet.

Até então, cada site tinha que ter seu servidor. Nem ao menos havia esquemas para colocar dois ou mais sites em cada servidor, se fosse fazer isto, teria que ter outros servidores e cada um com seu IP válido na internet.

Também era possível obter ranges de endereço IP para um mesmo computador, e então cada site ficava hospedado sobre seu IP.

A Internet começou havendo apenas um simples cabeçalho HTTP, a sua versão 1.0 só realizava a seguinte consulta TCP:

GET / HTTP/1.0

E mais nada além disto era enviado ao servidor, e o mesmo sabia responder com o site que o usuário desejava.

Notoriamente em seguida foi percebido que era necessário hospedar vários sites em um mesmo servidor, então criou-se a primeira atualização do protocolo HTTP, com algumas melhorias e o principal: "Virtual Hosts".

Seu navegador até hoje utiliza geralmente:

GET / HTTP/1.1
Host: www.tutorialti.com

Claro que apareceram outros cabeçalhos como tipo de documento aceitável, métodos de conexão e cabeçalhos contendo os cookies gravados.

Este recurso possibilitou que vários sites pudessem ser hospedados no mesmo servidor, exceto sites com SSL (criptografia), que não há suporte para Virtual Hosts pois o handshake da criptografia não sabe qual é o Host pois o mesmo só é enviado após a estabilização da conexão segura, dependendo ainda de um endereço IP exclusivo, até então.

Até o IIS 7.5 (Windows 7 e/ou Windows Server 2008 R2 e anteriores), o recurso de "Virtual Hosts" para SSL nunca existiu, e todo site para ambiente Windows dependia de ter seu endereço IP fixo para que o IIS permitisse carregar o certificado da conexão.

Repare que o campo "Nome do host" está esmaecido, não permitindo notar qual nome do site no IIS 7.5.

Isto já ocorre de forma diferente no IIS 8.0, que já permite enviar os novos certificados SNI (Server Name Indication).

A principal diferença do certificado SSL tradicional para o novo tipo de certificado, é que o anterior é compatível com todos os navegadores atuais, enquanto que o SNI é compatível apenas para os navegadores mais recentes.

Devido este problema de incompatibilidade atual, o certificado SNI não é interessante para grandes organizações como bancos, que necessitam garantir que todos venham acessar de forma segura.

Entretanto para quem tem um site pessoal e/ou institucional e não quer perder um usuário que acessou o "https", pode ter seu certificado SSL com um custo muito mais baixo que o certificado tradicional.

No Windows Azure, quem contrata um servidor, ganha até 5 certificados SNI para deixar seus sites seguros, enquanto que a opção tradicional tem custos.