SNI 필드

**SNI (Server Name Indication)**는 클라이언트가 TLS 핸드셰이크 과정에서 서버에 접속할 때 요청하는 서버의 도메인 이름을 명시하는 TLS 확장 필드입니다.

SNI는 주로 **하나의 IP 주소에 여러 도메인 이름(웹사이트)**을 호스팅하는 서버에서 사용됩니다. 이를 통해 클라이언트가 접속하려는 도메인 이름을 서버에 전달할 수 있어, 서버는 해당 요청에 맞는 올바른 SSL/TLS 인증서를 제공할 수 있습니다.

SNI의 동작 방식:

1. 클라이언트가 서버에 연결을 요청할 때, TLS 핸드셰이크를 시작합니다.
2. 클라이언트는 Client Hello 메시지를 전송하며, 이 메시지에 SNI 확장 필드를 포함시켜 접속하고자 하는 도메인 이름(예: www.example.com)을 서버에 알려줍니다.
3. 서버는 해당 SNI 정보를 읽고, 클라이언트가 요청한 도메인에 맞는 인증서를 선택해 반환합니다.
4. 양쪽은 선택된 인증서에 기반한 암호화 세션을 설정하여 통신을 시작합니다.

SNI의 필요성:

SNI는 가상 호스팅 환경에서 매우 중요합니다. 예를 들어, 하나의 웹 서버가 여러 도메인(예: example.com, test.com)을 호스팅하는 경우, 클라이언트가 어떤 도메인에 접속하려는지 서버가 미리 알아야 적절한 인증서를 제공할 수 있습니다. 만약 SNI가 없다면 서버는 어느 도메인에 대한 인증서를 제공해야 할지 알 수 없고, 그로 인해 핸드셰이크가 실패할 수 있습니다.

SNI 사용 예시:

• 클라이언트(브라우저): 사용자가 특정 웹사이트를 접속할 때, 브라우저가 해당 웹사이트의 도메인을 SNI 필드를 통해 서버에 알려줍니다.
• 서버: 서버는 도메인에 맞는 TLS 인증서를 선택해 클라이언트에 반환합니다.

SNI의 한계:

• SNI 필드의 노출: TLS 1.3에서조차 기본적으로 SNI는 암호화되지 않아, 네트워크를 감청하는 제3자가 클라이언트가 접속하려는 도메인 이름을 쉽게 파악할 수 있습니다. 이를 해결하기 위해 ESNI (Encrypted SNI), ECH (Encrypted Client Hello) 같은 기술이 제안되었으며, 이를 통해 SNI 필드를 암호화해 개인 정보를 보호하려는 시도가 진행되고 있습니다.