D'après ce que je sais, la suppression d'SSL v3 n'interdit que IE6 + XP, mais on peut avoir des IE plus récents sous XP. Et SSLLabs indique que IE8 + XP gère le TLS par défaut, mais pas le SNI, donc si ça change le problème.
Le 1 avril 2015 12:24, Pierre DOLIDON sn4ky@sn4ky.net a écrit :
ne pas oublier un truc, normalement les IE sur XP ne devraient même plus pouvoir naviguer sur le SSL, avec poodle tout le monde a raisonnablement désactivé SSLv3, et TLS 1.0 est désactivé par défaut dans IE. Donc normalement, if IE + Win XP = Pas HTTPS.
Donc SNI ou pas, ça changera pas le problème...
Le 01/04/2015 12:19, Dominique Rousseau a écrit :
Le Wed, Apr 01, 2015 at 12:07:22PM +0200, Artur [frsag@pydo.org] a écrit: [...]
La question porte sur la mise en oeuvre de tout ça. Peut-on raisonnablement envisager une gestion des serveurs web virtuels dans une telle config ? Ou au contraire prévoir systématiquement une IP par serveur web ssl (ça fait riche !) ?
De nos jours, avec SNI, c'est faisable. En gros, à part les Windows XP, tout le monde peut disposer d'un navigateur comptaible :
https://en.wikipedia.org/wiki/Server_Name_Indication#Implementation
Plutôt utiliser Apache2 avec des modules PHP ou au contraire un Nginx
avec fpm ?
La même conf que celle que tu fais quand tu n'utilise pas de SSL ! (puisque c'est celle que tu connais)
Selon le besoin, un "simple" reverse-proxy qui transfère les requetes arrivant sur un frontal HTTPS dédié vers le/s serveur/s hébegeant habituellement des sites.
Liste de diffusion du FRsAG http://www.frsag.org/