SNI와 SAN(Subject Alternative Name)의 차이점은 무엇인가요?

Q: SNI와 SAN(Subject Alternative Name)의 차이점은 무엇인가요?

A: SNI(Server Name Indication)와 SAN(Subject Alternative Name)은 둘 다 TLS/SSL 인증서와 관련된 용어이지만, 역할과 기능이 다릅니다.

1. 정의 및 역할
- SNI (Server Name Indication) :
클라이언트가 TLS 핸드셰이크 시 서버에게 접속하려는 도메인 이름을 알려주는 확장 기능입니다. 이를 통해 하나의 IP 주소와 포트를 사용하는 서버가 여러 도메인에 대해 별도의 인증서를 선택해 제공할 수 있습니다. 즉, 네트워크 레벨에서 클라이언트가 접속할 도메인을 먼저 알려주는 기능입니다.
- SAN (Subject Alternative Name) :
SSL/TLS 인증서 내에 포함되는 확장 필드로, 인증서가 보호할 수 있는 도메인명이나 IP 주소 등의 목록을 명시합니다. SAN 필드는 인증서가 여러 도메인이나 하위 도메인을 하나의 인증서로 보호할 수 있게 해줍니다.

2. 사용 시점
- SNI는 TLS 연결을 시작할 때 클라이언트가 서버에 도메인 이름을 알려줄 때 사용됩니다.
- SAN은 인증서 내에 도메인 이름 정보를 포함하여 브라우저나 클라이언트가 인증서의 유효성을 검사할 때 사용됩니다.

3. 기능적 차이
- SNI는 여러 도메인이 하나의 서버(하나의 IP)에서 호스팅될 때, 클라이언트가 접속할 도메인을 서버에 알려줘 적절한 인증서를 반환하게 하는 프로토콜 수준의 기능입니다. - SAN은 인증서가 여러 도메인에 대해 신뢰할 수 있음을 명시하는 인증서 내부의 필드입니다.

4. 관계성 및 실제 동작
- 예를 들어, 하나의 서버가 www.example.com과 www.example.org 두 도메인을 호스팅할 때, 클라이언트가 www.example.com으로 접속하면 SNI를 통해 서버에 www.example.com이라는 이름을 전달합니다. 서버는 SNI 정보를 보고 www.example.com에 맞는 인증서를 선택해 제공할 수 있습니다.
- 이 인증서에는 SAN 필드에 www.example.com, www.example.org가 포함되어 있을 수 있으며, 클라이언트는 인증서의 SAN 목록에 접속한 도메인이 있어야 신뢰합니다.

---

요약
| 구분 | SNI (Server Name Indication) | SAN (Subject Alternative Name) |
|--------------------|---------------------------------------------|-----------------------------------------------------|
| 역할 | TLS 접속 시 클라이언트가 접속 도메인 이름 전달 | 인증서에 보호할 여러 도메인을 명시 |
| 위치 / 시점 | TLS 프로토콜 확장 (핸드셰이크 단계) | 인증서 내부 확장 필드 |
| 기능 | 서버가 적합한 인증서를 선택할 수 있도록 도움 | 하나의 인증서가 여러 도메인을 지원하도록 함 |
| 대상 | 클라이언트와 서버 간의 통신 | 인증서와 클라이언트 간의 검증 |

따라서, SNI는 TLS 연결 시 서버를 올바르게 식별하기 위한 기능이고, SAN은 인증서가 여러 도메인을 커버할 수 있도록 하는 인증서 정보 필드 입니다.

SNI(서버 이름 표시)와 SAN(주체 대체 이름)은 SSL/TLS 인증서와 관련된 두 가지 중요한 개념입니다.

이들은 모두 웹사이트의 보안과 관련이 있지만, 그 기능과 목적은 다릅니다.

아래에서 이 두 개념의 차이점과 각각의 역할에 대해 자세히 설명하겠습니다.

SNI (Server Name Indication) SNI는 SSL/TLS 프로토콜의 확장 기능으로, 클라이언트가 서버에 연결할 때 요청하는 도메인 이름을 포함할 수 있게 해줍니다.

이는 여러 도메인이 동일한 IP 주소를 공유하는 경우에 특히 유용합니다.

SNI를 사용하면 서버는 클라이언트가 요청한 도메인에 맞는 SSL 인증서를 선택하여 제공할 수 있습니다.

SNI의 주요 특징: 1. 다중 도메인 지원 : 하나의 IP 주소에서 여러 도메인에 대해 SSL 인증서를 사용할 수 있습니다.

예를 들어, example.com과 example.org가 동일한 서버에서 호스팅될 수 있습니다.



2. 클라이언트 요청 : 클라이언트가 서버에 연결할 때 SNI를 통해 요청하는 도메인 이름을 서버에 전달합니다.



3. SSL/TLS 핸드쉐이크 : SNI는 SSL/TLS 핸드쉐이크 과정에서 클라이언트가 서버에 도메인 이름을 전달하는 방식으로 작동합니다.

SAN (Subject Alternative Name) SAN은 SSL/TLS 인증서의 확장 필드로, 인증서가 여러 도메인 이름을 지원할 수 있도록 해줍니다.

SAN 필드는 인증서에 포함된 주체 이름(주로 CN, Common Name) 외에 추가적인 도메인 이름을 나열할 수 있습니다.

이를 통해 하나의 인증서로 여러 도메인에 대한 보안을 제공할 수 있습니다.

SAN의 주요 특징: 1. 다양한 도메인 지원 : SAN을 사용하면 하나의 인증서로 여러 도메인(예: www.example.com, mail.example.com, example.org 등)을 보호할 수 있습니다.



2. 유연성 : SAN 필드를 통해 추가적인 도메인이나 서브도메인을 쉽게 추가할 수 있어 관리가 용이합니다.



3. 인증서 관리 : 여러 도메인에 대해 각각의 인증서를 발급받는 대신, SAN을 통해 하나의 인증서로 여러 도메인을 관리할 수 있어 비용과 관리의 효율성을 높입니다.

SNI와 SAN의 차이점 1. 기능 : - SNI는 클라이언트가 서버에 연결할 때 요청하는 도메인 이름을 전달하는 기능입니다.

- SAN은 SSL 인증서에 여러 도메인 이름을 포함할 수 있게 해주는 기능입니다.



2. 사용 시점 : - SNI는 SSL/TLS 핸드쉐이크 과정에서 클라이언트가 서버에 도메인 이름을 전달할 때 사용됩니다.

- SAN은 인증서가 발급될 때 여러 도메인을 포함할 수 있도록 설정됩니다.



3. 적용 범위 : - SNI는 서버 측에서 여러 도메인에 대해 SSL 인증서를 선택하는 데 사용됩니다.

- SAN은 인증서 자체에 여러 도메인을 포함하여 인증서의 유효성을 높이는 데 기여합니다.

결론 SNI와 SAN은 SSL/TLS 인증서와 관련된 서로 다른 기능을 제공하며, 현대의 웹 환경에서 중요한 역할을 합니다.

SNI는 여러 도메인을 동일한 IP 주소에서 호스팅할 수 있게 해주고, SAN은 하나의 인증서로 여러 도메인을 보호할 수 있게 해줍니다.

이 두 가지 기술은 함께 사용되어 웹사이트의 보안을 강화하고, 관리의 효율성을 높이는 데 기여합니다.