O wiki está contrastando o TLSv1 de protocolos anteriores, não de protocolos posteriores. O SNI funciona bem com o TLSv1.1 e o TLSv1.2.
No Apache 2.4 docs :
The first (default) vhost for SSL name-based virtual hosts must include TLSv1 as a permitted protocol, otherwise Apache will not accept the SNI information from the client and it will be as if the client did not support SNI at all.
Eu quero ter vários sites habilitados para TLS no meu servidor, cada um fornecendo um certificado diferente. Por motivos de segurança, só permito TLSv1.1 e TLSv1.2. Existe uma maneira segura de ativar o SNI?
Um snippet da minha configuração:
<VirtualHost *:80>
ServerName www.example.com
Redirect permanent / https://www.example.com/
</VirtualHost>
<VirtualHost *:443>
ServerName www.example.com
DocumentRoot /var/www/example.com
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3 -TLSv1
[other SSL options]
</VirtualHost>
<VirtualHost *:80>
ServerName www.example.org
Redirect permanent / https://www.example.org/
</VirtualHost>
<VirtualHost *:443>
ServerName www.example.org
DocumentRoot /var/www/example.org
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3 -TLSv1
[other SSL options]
</VirtualHost>
O wiki está contrastando o TLSv1 de protocolos anteriores, não de protocolos posteriores. O SNI funciona bem com o TLSv1.1 e o TLSv1.2.
Tags redirect sni apache-2.4