服务器名称标识到底是啥

关于SNI字段在TLS协议中的解读与托管服务器的存在意义

当我们在探讨TLS协议中的SNI（服务器名称标识）字段为空时，是否意味着一个IP上只有一个网站的问题时，答案确实是肯定的。SNI字段为空时，表明服务器是为单一网站服务的，即一对一的服务模式。

在HTTP时代，我们通过Host Server的明文http服务，仅依赖Http Header中的hostname和domain等字段，就能知道客户端想要访问哪个网站，然后返回相应的网页内容。但当我们进入HTTPS时代，情况就变得复杂起来。

为何HTTPS不能像HTTP那样简单明了？为何需要一个全新的SNI字段来识别真正的目的服务器呢？这主要是因为HTTPS在建立TCP连接后紧接着进行的是TLS安全握手，此时并不涉及HTTP。在这其中最关键的一步，是托管服务器将特定客户的服务器证书推送给客户端，以供客户端验证服务器的合法性。

在托管服务器上，可能存储有成百上千的客户证书。如果没有任何提示，服务器如何知道应该向客户端推送哪个证书呢？这时SNI字段就起到了关键作用。这个字段包含了目标服务器的域名信息，托管服务器可以根据SNI字段的信息，从数字证书数据库中提取相应的证书。然后在Server Hello报文里以“Certificate”消息推送给客户端，完成验证后，双方建立了一个安全的TLS加密隧道，明文的Http报文就可以通过这个隧道传输。

SNI字段位于TLS协议头中，以明文的方式呈现。这个信息是由客户端从HTTP协议头中提取并赋值给SNI的。关于托管服务器上是否存储有目标服务器的证书私钥，理论上讲，为了完成密钥解密和签名等任务，托管服务器通常都拥有目标服务器的私钥。

那么，托管服务器在整体网络架构中是怎样的存在呢？它是一种逆向代理，主要负责代理目标服务器与客户端的通信，专门代理HTTPS安全通信。它与目标服务器之间的通信同样使用HTTPS完成。代理服务器的存在价值在于，它可以缓存静态页面，减少用户的等待时间，同时减少对目标服务器的重复性内容的骚扰。通过缓存技术，只要静态内容没有过期，就可以快速直接返回给客户端，大大提高了网络效率和用户体验。