[AlternC-dev] certificat ssl

Retour à l'archive de la liste
Le site d'AlternC
Google Custom Search

Benjamin Sonntag benjamin at alternc.org
Jeu 10 Mar 15:46:48 CET 2005


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Yoann wrote:

| ok, n'ayant jamais été confronté au problème auparavant, je m'étais
| jamais poser la question... J'ai trouvé un site qui explique
| comment contourner le problème. Il y a la solution avec une adresse
| IP différente pour chaque vhost en ssl mais ça me semble un peu
| dure au niveau de l'obtention des adresse IP... Il propose d'autre
| solution mais en conclusion, rien de très propre.
|
| http://www.hsc.fr/ressources/breves/ssl_virtualhosts.html.fr

Oui, Hervé Schauer est une connaissance de Laurent Chemla, c'est une
boite qui fournit entre autre beaucoup d'excellentes docs sur des
sujets très pointus ... ce sont eux notamment qui ont aidé à la
configuration TLS de Postfix pour AlternC.

Leur conclusions sur les bidouilles possibles au niveau certificat :

Au final, aucune des solutions présentées n'est satisfaisante. Il aurait
également été possible de jouer sur les numéros de ports, mais il
n'est pas
vraiment recommandé de faire écouter un serveur HTTPS sur un port
différent du
port standard.

La méthode la meilleure est sans doute celle qui reste employée la plus
couramment, autrement dit la méthode d'hôte virtuel par adresse IP.
Dans ce cas
les méthodes précédentes peuvent être utilisées pour spécifier les
noms pointés
par la directive ServerAlias dans le CN ou via l'extension subjectAltName.

L'utilisation d'un protocole comme SSL est donc flexible à première
vue, car
permet l'introduction de tunnels chiffrés et authentifiés à moindre
effort
(pour tout applicatif supporté par TCP du moins), sans pour autant
être adaptée
à l'applicatif supporté. Un protocole tel que SHTTP est sur ce point
supérieur
à HTTPS, permettant notamment la montée d'un tunnel en cours de connexion
(à la manière d'un SMTP-TLS, ce qui permet notamment d'écouter sur un
port
unique).

++

enjamin
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFCMF3Yd5FD2Z8azpwRAuSoAJ9uwgFTX0rOg4xAzXVJAZpzZpffcgCfS/HT
lhpHJu5rcXB6m0/RQ+iHUcw=
=t65B
-----END PGP SIGNATURE-----




Plus d'informations sur la liste de diffusion Dev