Bonsoir,
Pour ma part j'utilise Apache2 avec le gestionnaire d'hébergement
AlternC qui est très facile d'emploi et de mise en oeuvre, actuellement
je gère les certificats à la main mais AlternC a déjà toute la
configuration TLS nécessaire.
Florian
On 01. 04. 15 16:12, Artur wrote:
> Merci pour v
Juste une remarque là dessus : pour ceux qui ne sont pas compatibles SNI,
ils auront un certificat serveur qui ne correspond pas à leur site, donc
potentiellement ils n'arriveront pas sur la page qui demande à mettre à
jour car ils ne passeront pas outre la popup de sécurité du navigateur. A
avoir
Merci pour vos réponses.
Si je fais une synthèse un peu subjective cela donne :
- SSL avec SNI peut être retenu si on fait l'impasse sur quelques
versions de navigateurs plutôt anciens
- Du coup on fait du virtual host avec une seule adresse IP
- HAProxy, bien, mais comme je ne le connais pas et c
Cette solution est il me semble la plus "propre".
Si le client n'a pas de navigateur/plateforme compatible SNI --> on le
route vers une page/vhost qui lui demande de mettre à jour son navigateur.
Finalement c'est plutôt politique que technique...
Le 1 avril 2015 14:23, Baptiste a écrit :
> 2015
2015-04-01 14:18 GMT+02:00 Antoine Benoit :
> D'après ce que je sais, la suppression d'SSL v3 n'interdit que IE6 + XP,
> mais on peut avoir des IE plus récents sous XP.
> Et SSLLabs indique que IE8 + XP gère le TLS par défaut, mais pas le SNI,
> donc si ça change le problème.
>
HAProxy peut gérer
D'après ce que je sais, la suppression d'SSL v3 n'interdit que IE6 + XP,
mais on peut avoir des IE plus récents sous XP.
Et SSLLabs indique que IE8 + XP gère le TLS par défaut, mais pas le SNI,
donc si ça change le problème.
Le 1 avril 2015 12:24, Pierre DOLIDON a écrit :
> ne pas oublier un tru
Pour avoir un peut le même besoin, je gére ça via du nginx + php-fpm.
Cela demande un peu de config (surtout pour les projets libres qui
fournissent souvent une conf apache) mais il me semble que cela tient mieux
la charge dans ce type d'usage.
Cordialement
Alexis Lameire
Le 1 avril 2015 12:24,
2015-04-01 12:24 GMT+02:00 Pierre DOLIDON :
> ne pas oublier un truc, normalement les IE sur XP ne devraient même plus
> pouvoir naviguer sur le SSL, avec poodle tout le monde a raisonnablement
> désactivé SSLv3, et TLS 1.0 est désactivé par défaut dans IE. Donc
> normalement, if IE + Win XP = Pas
ne pas oublier un truc, normalement les IE sur XP ne devraient même plus
pouvoir naviguer sur le SSL, avec poodle tout le monde a raisonnablement
désactivé SSLv3, et TLS 1.0 est désactivé par défaut dans IE. Donc
normalement, if IE + Win XP = Pas HTTPS.
Donc SNI ou pas, ça changera pas le prob
Le Wed, Apr 01, 2015 at 12:07:22PM +0200, Artur [fr...@pydo.org] a écrit:
[...]
> La question porte sur la mise en oeuvre de tout ça.
> Peut-on raisonnablement envisager une gestion des serveurs web virtuels
> dans une telle config ?
> Ou au contraire prévoir systématiquement une IP par serveur web
'jour,
> Peut-on raisonnablement envisager une gestion des serveurs web virtuels
> dans une telle config ?
Moi je dirai oui, avec HAProxy en frontal SSL (et pas que).
La gestion est simple, tous les certificats dans un dossier et HAProxy trouve
tout seul le bon à utiliser.
> Ou au contraire pré
Pourquoi faire compliquer ?
Apache2 avec SNI et hop, 2 IP pour tout le monde à grand coup de virtualhost
Le SNI est utilisable par tout les navigateurs utilisables.. si ton
client ne supporte pas le SNI, tu ne devrais pas l'utiliser ! (ie6 etc)
On 01/04/2015 12:07, Artur wrote:
> Bonjour les gens
Bonjour les gens,
J'aurais à gérer un nombre un peu plus important de sites SSL
qu'actuellement mais de façon assez modeste, disons quelques dizaines.
Chaque site aura son propre certificat SSL. Il n'y a pas de gros volume,
ni un trafic très important, mais je ne dispose pas non plus de serveurs
u
13 matches
Mail list logo