Qué es SNI (Server Name Indication)

Server Name Indication — SNI — es un campo en el handshake TLS. Cuando tu navegador conecta a un sitio sobre HTTPS, envía un valor SNI sin cifrar en el primer mensaje: "quiero hablar con www.example.com". El servidor usa eso para elegir el certificado correcto (múltiples sitios frecuentemente comparten una IP vía virtual hosting), luego ambos lados configuran cifrado para todo lo que sigue.

El truco: SNI es texto plano. Cualquiera observando el cable — tu ISP, el Wi-Fi del café, una caja DPI — ve el hostname. Aunque cada byte de la página después del handshake esté cifrado, el dominio destino está en claro al momento de la conexión.

Por qué existe SNI

Antes de SNI, cada sitio HTTPS necesitaba su propia dirección IP. El servidor recibía un handshake cifrado y no tenía manera de saber qué certificado presentar. SNI arregló eso agregando el hostname a la parte sin cifrar del handshake. Ahora cientos de sitios pueden compartir una IP — el servidor lee el SNI, elige el cert correspondiente, y el handshake completa.

Así es como funciona el hosting compartido y el tráfico CDN a escala. Cloudflare, Fastly, Akamai todos sirven millones de dominios desde un pequeño conjunto de IPs. SNI es lo que hace eso posible.

Lo que SNI revela

Aun con HTTPS completo:

• Tu ISP conoce cada dominio que visitas.
• La red de tu empleador lo sabe.
• El equipo de vigilancia gubernamental lo sabe.
• Cualquiera corriendo DPI en el camino lo sabe.

El contenido de la página está cifrado. El destino no. Para privacidad de la red, este es el canal lateral que derrota el razonamiento "pero HTTPS me protege".

SNI cifrado: el rollout lento

Encrypted Client Hello (ECH) y el más antiguo Encrypted SNI (ESNI) intentan cifrar el hostname para que la red no pueda leerlo. Ambos funcionan cifrando el SNI con una clave que el destino publica vía DNS.

La adopción es parcial:

• Cloudflare soporta ECH.
• Firefox soporta ECH (apagado por defecto en algunas regiones).
• Chrome tiene soporte experimental.
• La mayoría de las CDNs y sitios grandes no lo han desplegado.

Hasta que ECH sea ubicuo, SNI se filtra. Y en redes haciendo DPI agresivo, aun los navegadores que usan ECH son filtrados o degradados — el censor puede detectar el intento de ECH y bloquearlo.

Cómo VLESS Reality usa SNI para desaparecer

VLESS Reality toma SNI y lo convierte en camuflaje. El SNI del handshake es el SNI de un sitio público real como microsoft.com. El certificado servido de regreso es el certificado real de microsoft.com, firmado por la CA real. Para el DPI observando el cable, esta conexión es indistinguible de cualquier otra sesión HTTPS hacia microsoft.com — mismo SNI, mismo cert, mismo timing de handshake.

Para bloquearla, el censor tendría que bloquear microsoft.com — lo cual generalmente no harán, porque demasiado otro tráfico depende de él. Esta es la diferencia estructural entre Reality y las VPNs "obfuscadas" que intentan falsificar un handshake TLS. Reality usa unos reales.

Lee Deep packet inspection, explicado por cómo esto encaja en el panorama más amplio de censura, o la página del protocolo VLESS Reality para la implementación.

Prueba Fexyn gratis por 7 días — Stealth usa SNI real hacia hosts públicos para que el DPI vea HTTPS normal, no VPN.