Re: [FRsAG] SSL / SNI sur IMAP/POP/SMTP

-- Jean-christophe PAROLA     Le mercredi 06 décembre 2017 à 17:04 +0100, Julien Escario a écrit : > Bonjour la liste, > Nous sommes en train de 'rêver' à un joli reverse proxy pour les > connexions > IMAP, POP (hum) et SMTP avec du ssl offloading et toussa. > > L'idéal serait que l'on puisse écouter sur (par exemple), le port 993 > pour > imap.domaine1.com, imap.domaine2.com, etc ... > Le tout en présentant un certificat valide pour chaque domaine et ça, > s'appelle > SNI (RFC 6066 section 3). C'est une extension TLS donc indépendant du > protocole. > > Je prends les devants : nous ne souhaitons pas avec un gros > certificat qui > comprenne tous les vhosts. > > SNI donc, on le fait déjà massivement en HTTP over SSL (aka HTTPS), > tous les > browser modernes le supportent. > > Le soucis c'est déjà que l'on s'y est pris avec Nginx et ca semble > pas vraiment > supporté : impossible de déclarer deux vhosts qui écoutent sur le > port 993, ca > gère un conflit : > nginx: [emerg] duplicate "993" address and port pair > > Nginx tout frais : nginx version: nginx/1.13.6 > > Aucune doc là dessus chez Nginx, du coup la question : est-ce que > quelqu'un a > une trace d'un tel hack avec Nginx ? Quitte à regarder du côté d'un > module > 'custom' qu'on veut bien compiler, tester de debugger. > > Sinon, Haproxy semble le faire et on investira le temps nécessaire à > l'apprentissage. > > Mais, question subsidiaire : je ne trouve aucune liste du support SNI > par les > clients IMAP ou SMTP ? C'est si exotique ce que l'on veut faire ? > OK, il y a : https://wiki.dovecot.org/SSL/SNIClientSupport pour avoir > une idée > du support en IMAP. > > Est-ce que quelqu'un s'est déjà lancé dans ça ? Avec du succès ou pas > ? > > Merci d'avance ! > Julien > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/