Le 13/04/2016 12:53, Solarus Lumenor a écrit : > > > Le 2016-04-13 10:56, Edouard Chamillard a écrit : > >> donc la plupart des boites serieuses ont un proxy en MITM, capable de >> lire un en tete SNI ou un champ Server: (et pas un FQDN, a part si ton >> proxy fait aussi la résolution dns (ce que certains font)). >> effectivement ça méritait de parler de deux types d'équipement. > Pourquoi faire si compliqué ? > > La RFC 2817 (qui date de 2000) prévoit que seul le CONNECT doit passer > en HTTP/1.1. Là le proxy peut accepter ou refuser la connexion en > fonction du domaine demandé dans le CONNECT. > En cas d'acceptation le client peut demander un upgrade (passage en > HTTPS) et établir un tunnel TLS directement avec le serveur distant, > tunnel qui n'est pas intercepté et qui permet de conserver > authentification X.509 légitime. > > https://tools.ietf.org/rfc/rfc2817 > le sujet c'etait les proxy transparents. CONNECT était hors course au premier mail.
signature.asc
Description: OpenPGP digital signature