Jean-Christophe Dubacq a écrit :
il n'est pas possible de préciser plusieurs certificats sur un même
serveur (1 par vhost), qui soient liés à la même adresse IPv4. D'ailleurs,
si tu as essayé, apache a du te générer une erreur.
Si, c'est possible. Je le fais chez moi. Mais comme dit deux mails plus
haut, la connexion ssl est établie avec apache *avant* que le nom d'hôte
demandée soit envoyé. Donc une première connexion s'établie forcément
avec comme paramètre le certificat de la connexion par défaut au port
443 (et donc le navigateur râle deux fois : une fois parce que le
certificat est inconnu, ce qui peut se résoudre si les gens acceptent le
certificat, une fois parce que le certificat ne correspond pas au nom
d'hôte demandé, et ça, on n'y peut rien, à mois d'avoir fait un
certificat générique pour tous ses sites web).
[...]
Donc, après avoir établi la connexion SSL (navigateur demandant
d'accepter le certificat pour siteun et navigateur râlant que siteun est
différent de sitedeux), la communication en HTTP se fait et le
navigateur est redirigé vers le port 8080. Sur ce port écoute apache en
HTTPS avec le certificat de sitedeux (et sur le port 8081 avec le
certificat de sitetrois), si bien que là, le navigateur redemande si on
veut bien accepter le certificat (de sitedeux, cette fois-ci), et donne
le bon résultat.
Ça confirme mon intuition sur l'utilisation possible des ports comme
élément discriminant pour le choix du certificat par le serveur. Par
contre, je trouve deux inconvénients à ta méthode :
1) Ce n'est pas une bonne idée d'habituer les gens à accepter des
certificats ne correspondant pas avec le site demandé. Ça donne de
mauvaises habitudes qui ne vont pas dans le sens de la sécurité.
2) L'utilisation de ports non standards peut empêcher l'accès à ceux qui
passent par un proxy HTTP n'autorisant la méthode CONNECT que vers le
port 443.
--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
