Server Name Indication : permettre plusieurs certificats SSL par IP
Internet explorer, le boulet qui ralentit le chiffrement de l'Internet
Dans le passé, il n'était généralement pas possible de mettre plus d'un certificat SSL par couple adresse IP numéro de port. En effet la négociation SSL intervient avant l'envoi des en-têtes HTTP qui permettent de détecter quel domaine est demandé (sur les serveurs qui font du multihosting avec une seule adresse IP).
La RFC 4366 a créé une extension "server name indication" (SNI) qui permet lors de la connexion SSL au client (le navigateur web) de spécifier à quel serveur il veut se connecter, ce qui permettra au serveur de présenter le bon certificat.
Il faut désormais que les navigateurs et les serveurs implèmentent cette extension.
Navigateurs compatibles :
- Internet Explorer 7+ (mais aucun IE sous XP ne marche, à cause de la librairie TLS de Windows XP)
- Firefox 2+
- Opera 8+
- Chrome 6+
- Safari 3.2.1+ sur Mac OS X 10.5.6+
- Safari sous Vista ou Seven
- Konqueror/KDE 4.7
- MobileSafari sur iOS 4.0+
- WindowsPhone 7+
- Android 3+
- BlackBerry 10
- Opera Mobile 10.1
- Java 1.7
Serveurs compatibles :
- Microsoft IIS8 (sous Windows Server 2012)
- OpenSSL 0.9.8f (0.9.8k recommandé)
- Apache 2.2.12+
- lighthttpd 1.4.24+
- Apache Tomcat avec Java 7+
Navigateurs incompatibles :
- Internet Explorer sous Windows XP
- Safari sous Windows XP
- Android 2.x (navigateur par défaut)
- Blackberry 9
- Windows Mobile (marche à partir version 7)
- Java 1.6 et plus ancien
Serveurs incompatibles :
- Microsoft IIS (même IIS 7.5 ne le supporte pas)