2015-04-01 14:18 GMT+02:00 Antoine Benoit <antoine.benoit@gmail.com>:
> D'après ce que je sais, la suppression d'SSL v3 n'interdit que IE6 + XP,
> mais on peut avoir des IE plus récents sous XP.
> Et SSLLabs indique que IE8 + XP gère le TLS par défaut, mais pas le SNI,
> donc si ça change le problème.
>
HAProxy peut gérer un certificat par "défaut" pour les gens qui
n'enverraient pas le SNI.
En plus, HAProxy peut logger le SNI (et pleins d'autres info du SSL,
comme la version du TLS et le cipher utilisé), mais aussi le
user-agent HTTP.
Ca permet de faire un "audit" et de savoir si certains site ont 100%
de clients "compatibles" SNI (car ils l'ont envoyé) et donc migrables
sur une même IP.
Baptiste