A と B のふたつの HTTPS サーバを動かすとする。 A の証明書と B の証明書は別なので、リクエストに応じて どちらの証明書でネゴをするのか選択しなければいけない。 だけど、IP アドレス、ポート番号が同じだと、A と B を 区別するのは Host: しかないわけで、これは復号しないと 見ることができない。ところが証明書の交換が終わってないので まだ復号できない。鍵は金庫の中ってわけ。
Host: 以外の手段で A と B を区別できるようにすれば どっちの証明書を使えばいいのかもわかるから SSL トンネルを 確立することが可能になる。HTTP セッションが開始されるのは この後だから、GET 〜以下も問題なく読める。 Host: も読めるようになったけど、もう用済み。