anw wrote:Merci pour ces explications, j'ignorais que la lib openssl souffrait de cette limitation et je ne connaissais pas CAcert.
Ce n'est pas une limitation de la lib openssl, c'est juste une question de couche, la couche SSL est sous Apache et n'a pas connaissance du vhost utilisé. C'est entrain d'être modifié doucement pour faire communiquer les deux couches mais sur TuxFamily ça ne verra jamais le jour vu qu'il n'y a qu'un seul vhost :)
anw wrote:Si l'on ne peut faire tourner qu'un seul certificat par port/ip, il reste la possibilité de générer un certificat unique qui serait valide:
1) soit pour l'ensemble des domaine hébergés qui en feraient la demande (je ne sais pas s'il y a une limite par certificat)
Pour la première solution, ce serait top, mais j'imagine que c'est difficilement réalisable (nécessité de recréer le certificat régulièrement), quoique ça peut s'automatiser.
Exactement, puis un certif il est censé ne pas changer, sinon bah il sert juste simplement à rien. Et ça ne peut marcher qu'avec une clef self-signée.
anw wrote:2) soit pour l'ensemble des sous-domaines (*.tuxfamily.org)
La deuxième solution me paraît réalisable, mais elle ne concernerait que ceux qui ont un sous-domaine TF.
L'* n'est pas standard du tout, c'est un usage de fait mais c'est pas dit que ça fonctionne, c'est même une abhération pour moi. Puis comme tu le dis il n'y a pas que les sites TF, je vois pas pourquoi ils devraient être plus avantagés que ceux qui possèdent leurs propres domaines :)