Seleção de certificado SSL com base no cabeçalho do host: é possível?

Historicamente, sua primeira declaração é precisa. Agora, existem várias opções:

• Um certificado curinga se subdomínios dentro do mesmo domínio.
• Um certificado SAN / UCC para especificar nomes alternativos para o certificado, podendo assim servir vários certificados.
• O SNI foi introduzido para estabelecer a conexão SSL após o cabeçalho do host. Isso tem suporte limitado, no entanto, como é mais recente.

Isso foi respondido várias vezes no ServerFault por mim e por outros. Sugiro procurar mais detalhes, a menos que você tenha uma pergunta específica.

Para estender a resposta da Warner: A página do CAcert Task Force Vhost compara vários métodos para usar vários domínios em um único servidor. Eu pessoalmente uso Indicação do nome do servidor .

Resposta curta: no

O HTTP é encapsulado dentro do SSL , portanto, qualquer informação sobre a solicitação fica inacessível até que a conexão seja estabelecida. Daí até que um certificado foi dado ao cliente. Nenhuma maneira de usar cabeçalhos nem qualquer outra informação criptografada, pois eles ainda não estão disponíveis.

EDITAR:   isso é verdade se você quiser que hoje em dia seja cross-browser e totalmente portátil. Como dito por outros, existem alguns novos métodos emergentes que tornam possível no futuro próximo.

or is that information that is only available after the SSL connection is established?

Correto. A conexão SSL é estabelecida antes que qualquer parte da solicitação HTTP (cabeçalho do host incluído) seja enviada.