D'après ce que je sais, la suppression d'SSL v3 n'interdit que IE6 + XP, mais on peut avoir des IE plus récents sous XP. 
Et SSLLabs indique que IE8 + XP gère le TLS par défaut, mais pas le SNI, donc si ça change le problème.

Le 1 avril 2015 12:24, Pierre DOLIDON <sn4ky@sn4ky.net> a écrit :
ne pas oublier un truc, normalement les IE sur XP ne devraient même plus pouvoir naviguer sur le SSL, avec poodle tout le monde a raisonnablement désactivé SSLv3, et TLS 1.0 est désactivé par défaut dans IE. Donc normalement, if IE + Win XP = Pas HTTPS.

Donc SNI ou pas, ça changera pas le problème...

Le 01/04/2015 12:19, Dominique Rousseau a écrit :
Le Wed, Apr 01, 2015 at 12:07:22PM +0200, Artur [frsag@pydo.org] a écrit:
[...]
La question porte sur la mise en oeuvre de tout ça.
Peut-on raisonnablement envisager une gestion des serveurs web virtuels
dans une telle config ?
Ou au contraire prévoir systématiquement une IP par serveur web ssl (ça
fait riche !) ?
De nos jours, avec SNI, c'est faisable.
En gros, à part les Windows XP, tout le monde peut disposer d'un
navigateur comptaible :

https://en.wikipedia.org/wiki/Server_Name_Indication#Implementation

Plutôt utiliser Apache2 avec des modules PHP ou au contraire un Nginx
avec fpm ?
La même conf que celle que tu fais quand tu n'utilise pas de SSL !
(puisque c'est celle que tu connais)

Selon le besoin, un "simple" reverse-proxy qui transfère les requetes
arrivant sur un frontal HTTPS dédié vers le/s serveur/s hébegeant
habituellement des sites.


_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/