Cette solution est il me semble la plus "propre". Si le client n'a pas de navigateur/plateforme compatible SNI --> on le route vers une page/vhost qui lui demande de mettre à jour son navigateur.
Finalement c'est plutôt politique que technique... Le 1 avril 2015 14:23, Baptiste <bed...@gmail.com> a écrit : > 2015-04-01 14:18 GMT+02:00 Antoine Benoit <antoine.ben...@gmail.com>: > > D'après ce que je sais, la suppression d'SSL v3 n'interdit que IE6 + XP, > > mais on peut avoir des IE plus récents sous XP. > > Et SSLLabs indique que IE8 + XP gère le TLS par défaut, mais pas le SNI, > > donc si ça change le problème. > > > > HAProxy peut gérer un certificat par "défaut" pour les gens qui > n'enverraient pas le SNI. > En plus, HAProxy peut logger le SNI (et pleins d'autres info du SSL, > comme la version du TLS et le cipher utilisé), mais aussi le > user-agent HTTP. > Ca permet de faire un "audit" et de savoir si certains site ont 100% > de clients "compatibles" SNI (car ils l'ont envoyé) et donc migrables > sur une même IP. > > Baptiste > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ > -- Cordialement. Manuel Ozan
_______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
