Lo que parece estar viendo está relacionado con la Indicación del nombre del servidor , que es básicamente el equivalente TLS de% co_de de HTTP % de encabezado.
Según ese mismo artículo de wikipedia :
Por lo tanto, con los clientes y servidores que implementan SNI, un servidor con una sola dirección IP puede servir a un grupo de nombres de dominio para los cuales no es práctico obtener un certificado común.
En la práctica, SNI es básicamente un registro enviado durante la configuración de la sesión TLS: Red de navegadores de alto rendimiento el libro proporciona una descripción general del protocolo de enlace y también una sección específica sobre SNI , resumido como:
El flujo de trabajo TLS + SNI es idéntico al anuncio del encabezado del Host en HTTP, donde el cliente indica el nombre del host que está solicitando: la misma dirección IP puede alojar muchos dominios diferentes, y tanto SNI como Host deben desiguiguar entre ellos.
tl; dr : SNI permite que un observador identifique el dominio específico al que se relaciona una solicitud TLS. También se puede usar, como fue recientemente informado por FireEye , para ofuscar el objetivo 'real' de una conexión - por ejemplo puede tener un SNI en google.com, pero un encabezado Host: para youtube, y esto (actualmente) le permitirá navegar por el contenido de youtube sin exponer el hecho.