Pour les informations les plus à jour sur Apache et SNI, y compris les RFC spécifiques à HTTP supplémentaires, veuillez consulter le Wiki Apache
FYsI : "Plusieurs certificats SSL (différents) sur une IP" vous est présenté grâce à la magie de la mise à niveau TLS. Ça fonctionne avec les serveurs Apache plus récents (2.2.x) et les navigateurs raisonnablement récents (je ne connais pas les versions exactes).
La RFC 2817 (mise à niveau vers TLS dans HTTP/1.1) contient les détails, mais fondamentalement, cela fonctionne pour beaucoup de gens (si ce n'est pas la majorité).
Vous pouvez reproduire l'ancien comportement bizarre avec la commande s_client
d'openssl (ou avec tout navigateur "assez ancien").
Édition pour ajouter : apparemment, curl
peut vous montrer ce qui se passe ici mieux qu'openssl :
SSLv3
mikeg@flexo% curl -v -v -v -3 https://www.yummyskin.com
* Connexion à www.yummyskin.com à la port 443 (#0)
* Tentative 69.164.214.79... connecté
* Connecté à www.yummyskin.com (69.164.214.79) port 443 (#0)
* Configuration des emplacements de vérification des certificats réussie :
* Fichier CA : /usr/local/share/certs/ca-root-nss.crt
Chemin du CA : aucun
* SSLv3, poignée de main TLS, Bonjour client (1):
* SSLv3, poignée de main TLS, Bonjour serveur (2):
* SSLv3, poignée de main TLS, CERT (11):
* SSLv3, poignée de main TLS, Échange de clés serveur (12):
* SSLv3, poignée de main TLS, Terminé serveur (14):
* SSLv3, poignée de main TLS, Échange de clés client (16):
* SSLv3, modification de la suite de chiffrement TLS, Bonjour client (1):
* SSLv3, poignée de main TLS, Terminé (20):
* SSLv3, modification de la suite de chiffrement TLS, Bonjour client (1):
* SSLv3, poignée de main TLS, Terminé (20):
* Connexion SSL utilisant DHE-RSA-AES256-SHA
* Certificat du serveur :
* sujet : numéro de série=wq8O9mhOSp9fY9JcmaJUrFNWWrANURzJ; C=CA;
O=staging.bossystem.org; OU=GT07932874;
OU=Voir www.rapidssl.com/resources/cps (c)10;
OU=Validation de contrôle de domaine - RapidSSL(R);
CN=staging.bossystem.org
* date de début : 2010-02-03 18:53:53 GMT
* date d'expiration : 2011-02-06 13:21:08 GMT
* SSL : le nom du sujet du certificat 'staging.bossystem.org'
ne correspond pas au nom de l'hôte cible 'www.yummyskin.com'
* Fermeture de la connexion #0
* SSLv3, alerter TLS, Bonjour client (1):
curl: (51) SSL : le nom du sujet du certificat 'staging.bossystem.org'
ne correspond pas au nom de l'hôte cible 'www.yummyskin.com'
TLSv1
mikeg@flexo% curl -v -v -v -1 https://www.yummyskin.com
* Connexion à www.yummyskin.com à la port 443 (#0)
* Tentative 69.164.214.79... connecté
* Connecté à www.yummyskin.com (69.164.214.79) port 443 (#0)
* Configuration des emplacements de vérification des certificats réussie :
* Fichier CA : /usr/local/share/certs/ca-root-nss.crt
Chemin du CA : aucun
* SSLv3, poignée de main TLS, Bonjour client (1):
* SSLv3, poignée de main TLS, Bonjour serveur (2):
* SSLv3, poignée de main TLS, CERT (11):
* SSLv3, poignée de main TLS, Échange de clés serveur (12):
* SSLv3, poignée de main TLS, Terminé serveur (14):
* SSLv3, poignée de main TLS, Échange de clés client (16):
* SSLv3, modification de la suite de chiffrement TLS, Bonjour client (1):
* SSLv3, poignée de main TLS, Terminé (20):
* SSLv3, modification de la suite de chiffrement TLS, Bonjour client (1):
* SSLv3, poignée de main TLS, Terminé (20):
* Connexion SSL utilisant DHE-RSA-AES256-SHA
* Certificat du serveur :
* sujet : C=CA; O=www.yummyskin.com; OU=GT13670640;
OU=Voir www.rapidssl.com/resources/cps (c)09;
OU=Validation de contrôle de domaine - RapidSSL(R);
CN=www.yummyskin.com
* date de début : 2009-04-24 15:48:15 GMT
* date d'expiration : 2010-04-25 15:48:15 GMT
* nom commun : www.yummyskin.com (correspondant)
* émetteur : C=US; O=Equifax Secure Inc.; CN=Equifax Secure Global eBusiness CA-1
* Vérification du certificat SSL réussie.
0 votes
Cette question mentionne plusieurs certificats et les réponses sont correctes à ce sujet. Cependant, le titre parle de plusieurs domaines et vous pouvez avoir plusieurs domaines avec un seul certificat (et sans SNI), voir serverfault.com/questions/126072/… et serverfault.com/questions/279722/… également sur security.SX.