SNIとは何ですか？

1つのIPアドレスで複数のHTTPSドメインを扱えるようにするTLSの拡張機能。クライアントがTLS接続の開始時に接続先のドメイン名をサーバーに伝える仕組み。

SNIのポイントは？

1台のサーバー（同じIPアドレス）で複数のSSL/TLS証明書を使い分けられる。クライアントはTLSハンドシェイク時に接続先ホスト名をサーバーに通知する。クラウドホスティングや共有サーバーでHTTPSを実現するために不可欠。ホスト名が平文で送信されるためプライバシー上の課題がある

【えすえぬあい】

SNI とは？

💡 「どのドメインに用がある？」とTLS接続の入り口で名乗る仕組み

📌 このページのポイント

1台のサーバー（同じIPアドレス）で複数のSSL/TLS証明書を使い分けられる
クライアントはTLSハンドシェイク時に接続先ホスト名をサーバーに通知する
クラウドホスティングや共有サーバーでHTTPSを実現するために不可欠
ホスト名が平文で送信されるためプライバシー上の課題がある

SNIの仕組み

ひよこ

SNIってなんで必要なの？

ペンギン先生

1つのサーバーに複数のドメインを置きたいとき、どの証明書を使えばいいかがTLSの接続確立時点では分からなかったんだ。HTTPなら `Host` ヘッダーでドメインを教えられるけど、TLSはHTTPより前に始まるから当初はホスト名が分からなかったんだよ。

ひよこ

SNIがあるとどうなるの？

ペンギン先生

クライアントがTLSハンドシェイクの最初に「example.com に接続したい」と教えるんだ。サーバーはその情報をもとに正しい証明書を選んでハンドシェイクを続けられる。これによって1つのIPアドレスで何十・何百ものHTTPS ドメインを扱えるよ。

ひよこ

クラウドのロードバランサーもSNIを使ってるの？

ペンギン先生

そうだよ。AWSのALBなどもSNIで複数の証明書を一つのロードバランサーで扱えるんだ。SNIがなければHTTPS ドメインごとにIPアドレスが必要になってしまう。

ひよこ

SNIのプライバシー問題って何？

ペンギン先生

SNIでホスト名を送る部分はTLSの暗号化の「前」に平文で送られるんだ。つまりネットワーク上の第三者（ISPや盗聴者）が「このユーザーはexample.comにアクセスした」と見えてしまう。これを解消するのが「Encrypted Client Hello（ECH）」という新しい仕組みで、ホスト名も含めてTLS接続の初期段階から暗号化する。エンドツーエンド暗号化の観点ではSNIがプライバシーの穴になっていたことをあまり知らない人も多いよ。

まとめ：ざっくりこれだけ覚えればOK！

「SNI」って出てきたら「1つのIPアドレスで複数のHTTPS ドメインを識別するための仕組みだな」と思えばだいたいOK！

📖 おまけ：英語の意味

「SNI（Server Name Indication）」＝サーバー名の通知

💬 TLS拡張の一つで、RFC 6066で標準化されているよ。「どのサーバー名に接続したいか」をハンドシェイク中に伝えるという名前の通りの機能だね

← 用語集にもどる