Сервер предоставляет сертификат для неверного имени хоста SNI

Question

Я столкнулся с поведением Java SNI SSL, которое я не понимаю. При использовании SNI в Java я ожидаю, что Google не предоставит сертификат для недопустимого имени хоста, но это так.

KeyStore keystore = KeyStore.getInstance("JKS");
keystore.load(new FileInputStream("src/main/resources/empty.keystore"), "password".toCharArray());

KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance("SunX509");
keyManagerFactory.init(keystore, "password".toCharArray());

KeyStore trustStore = KeyStore.getInstance("JKS");
// truststore contains single trusted certificate with serial number: 0x72a9296669b20ad60800000000320a0a
trustStore.load(new FileInputStream("src/main/resources/client-test-cn.truststore"), "password".toCharArray());

TrustManagerFactory tmf = TrustManagerFactory.getInstance("PKIX");
tmf.init(trustStore);

SSLContext sslContext = SSLContext.getInstance("TLS");
sslContext.init(keyManagerFactory.getKeyManagers(), tmf.getTrustManagers(), null);

SSLSocketFactory socketFactory = sslContext.getSocketFactory();
SSLSocket socket = (SSLSocket) socketFactory.createSocket();
SSLParameters sslParameters = socket.getSSLParameters();

sslParameters.setServerNames(Arrays.asList(new SNIHostName("microsoft.com")));
// Google provides certificate with serial number:  0x72a9296669b20ad60800000000320a0a
// CN=*.google.com,O=Google LLC,L=Mountain View,ST=California,C=US
// CN=GTS CA 1O1,O=Google Trust Services,C=US
// this works as this certificate is in the trust store
// handshake log: Extension server_name, server_name: [type=host_name (0), value=microsoft.com]
// ????? why does Google provide Google certificate for invalid hostname ?????

// sslParameters.setServerNames(Arrays.asList(new SNIHostName("google.com")));
// Google provides certificate with serial number: 0xcbfd0b2561656ea202000000005c675c
// this does NOT work as intentionally this certificate is missing from truststore
// handshake log: Extension server_name, server_name: [type=host_name (0), value=google.com]

sslParameters.setProtocols(new String[] {"TLSv1.2"});
socket.setSSLParameters(sslParameters);

socket.connect(new InetSocketAddress(InetAddress.getByName("google.com"), 443));
socket.addHandshakeCompletedListener(event -> System.out.println("----- HANDSHAKE DONE -----"));
socket.startHandshake();

Почему Google вообще предоставляет свой сертификат при запросе недопустимого имени хоста через SNI расширение? Является ли частью SNI предоставление произвольного сертификата / сертификата по умолчанию при отсутствии соответствующего имени хоста?

Answer 1

Является ли частью SNI предоставление случайного сертификата / сертификата по умолчанию, если не найдено подходящего имени хоста?

SNI не предписывает конкретное c поведение сервера. Все, что он предоставляет, - это способ, с помощью которого сервер может узнать, к какому домену клиент хочет получить доступ.

Поведение серверов сильно отличается: некоторые вообще игнорируют SNI, так как в любом случае они имеют только одну конфигурацию и сертификат. Другие имеют некоторые значения по умолчанию, если SNI не указан или не совпадает. А остальные обычно выдают какую-то ошибку, если имя, данное SNI, не соответствует указанной c конфигурации.