SSL 인증서 적용시, 서버 이름 표시 (SNI) 지원 서버 및 클라이언트

기술자료, 설치/적용 이슈 주요 사례

Server Name Indication (SNI) 는 SSL/TLS 연결시 웹서버 도메인 헤더 정보와 SSL 인증서 DNS Name 정보를 매칭하게 해주는 기술로, Vista + Internet Explorer 7 부터 지원되고 있습니다. 주요 웹서버에서도 SNI 기술을 지원하고 있습니다.

다만 오래된 서버/클라이언트 버젼은 기술적으로 구현되지 않은 상태이므로 Windows XP 처럼 오래된 디바이스에서는 접속에 문제가 발생할수 있으므로 SNI 적용시 SSL 적용되는 웹사이트가 구형 디바이스 접속도 서비스 대상인지 미리 검토가 필요합니다.

- 2017년 3월 기준 대한민국의 Windows XP 점유율 :  약 7.4% (추이보기)
- 2018년 11월 기준 대한민국의 Windows XP 점유율 :  약 2.3%


SNI 의 가장 큰 장점은, 한 서버에 여러개의 개별 인증서 적용시, 각각 인증서 마다 각각 포트를 분리해야 하는 불편한 점이 없어진다는 것입니다. 그리고 기본 443 포트를 사용하면서도 도메인:인증서 분리 적용도 가능해집니다.
 


Apache 에서 SNI 방식 SSL 인증서 conf 설정 예
https://www.sslcert.co.kr/guides/kb/45

Tomcat 에서 SNI 방식 SSL 인증서 Server.xml 설정 예
https://www.sslcert.co.kr/guides/kb/44


그외 다른 웹서버 및 웹브라우져의 SNI 지원 여부는 아래 페이지를 통해서 확인해 보시기 바랍니다. 

운영하는 웹사이트에 접속하는 클라이언트 현황을 검토하여, 특별히 문제되지 않는 다면, SNI 기능 활용을 권장합니다.
(SNI 에 대한 상세 기술정보는 인터넷 검색자료 참조)

웹브라우저, 서버, OS, 클라이언트 등의 SNI 지원 여부 목록
https://en.wikipedia.org/wiki/Server_Name_Indication#Support


[참고자료 - 웹브라우져 기능 지원 테스트]
User Agent Capabilities https://www.ssllabs.com/ssltest/clients.html
SSL/TLS Capabilities of Your Browser https://www.ssllabs.com/ssltest/viewMyClient.html
What is Server Name Indication (SNI)?  https://www.globalsign.com/en/blog/what-is-server-name-indication/


컨텐츠의 무단 전재/복사 및 이메일 주소의 수집/이용을 허용하지 않습니다.
bitSyrup 2023. All rights reserved.