Обновите HTTP-соединение с SSL/TLS
Клиенты MAPI не заботятся, как их электронная почта отослана сервером. Все, что они знают, - то, что им подключили Outlook к Exchange и когда они посылают электронное письмо, это переходит к серверу для доставки.
Любые изменения, которые Вы делаете к исходящим портам сервера, не будут замечены клиентами Outlook. Никакие необходимые изменения конфигурации.
Браузер никогда не должен переходить на http, если https не работает, потому что все, что нужно сделать злоумышленнику, - это сделать https недоступным (например, заблокировать порт 443). Таким образом, единственный способ сделать это - дать браузеру команду сделать это с сервера, например, отправив http-редирект. Конечно, это должно быть отправлено через безопасное соединение (иначе злоумышленник может подделать его), но, к сожалению, именно ваша проблема заключается в том, что безопасное соединение не работает.
В итоге: нет, это невозможно и так лучше.
Кстати, все современные браузеры поддерживают SNI, но не все приложения (например, приложения Java и т.д.). Если у вас есть несколько доменов на веб-сервере, но только один, необходимый этим приложениям, вы можете установить сертификат для этого домена по умолчанию. В противном случае вам нужно будет получить (более дорогой) сертификат, который содержит все необходимые домены в качестве альтернативных имен субъектов.
Отредактируйте с другой идеей: вы можете попробовать загрузить изображение со своей стороны как https и проверить Успех с обработчиком ошибки onerror в теге img. Возможно, это не вызывает видимого пользователем предупреждения, а просто не загружается. И если это удастся, вы знаете, что доступ по https возможен, и перенаправляете пользователя.
Кроме того, вы должны спросить себя, зачем вы вообще хотите предлагать https, если вы также принимаете доступ по http. Либо есть данные, которые следует защищать, либо их нет. Если вы предлагаете альтернативу http, злоумышленник может легко применить http вместо https.
Редактируйте с другой идеей: вы можете попробовать загрузить изображение с вашей стороны по https и проверить успешность с помощью обработчика ошибок onerror в теге img. Возможно, это не вызывает видимого пользователем предупреждения, а вместо этого просто не загружается. И если это удастся, вы знаете, что доступ по https возможен, и перенаправляете пользователя.
Кроме того, вы должны спросить себя, зачем вы вообще хотите предлагать https, если вы также принимаете доступ по http. Либо есть данные, которые следует защищать, либо их нет. Если вы предлагаете альтернативу http, злоумышленник может легко применить http вместо https.
Редактируйте с другой идеей: вы можете попробовать загрузить изображение с вашей стороны по https и проверить успешность с помощью обработчика ошибок onerror в теге img. Возможно, это не вызывает видимого пользователем предупреждения, а просто не загружается. И если это удастся, вы знаете, что доступ https возможен, и перенаправляете пользователя.
Кроме того, вы должны спросить себя, зачем вы вообще хотите предлагать https, если вы также принимаете доступ по http. Либо есть данные, которые следует защищать, либо их нет. Если вы предлагаете альтернативу http, злоумышленник может легко применить http вместо https.
И если это удастся, вы знаете, что доступ по https возможен, и перенаправляете пользователя.Кроме того, вы должны спросить себя, зачем вы вообще хотите предлагать https, если вы также принимаете доступ по http. Либо есть данные, которые следует защищать, либо их нет. Если вы предлагаете альтернативу http, злоумышленник может легко применить http вместо https.
И если это удастся, вы знаете, что доступ https возможен, и перенаправляете пользователя.Кроме того, вы должны спросить себя, зачем вы вообще хотите предлагать https, если вы также принимаете доступ по http. Либо есть данные, которые следует защищать, либо их нет. Если вы предлагаете альтернативу http, злоумышленник может легко применить http вместо https.
Просто дикая догадка: может быть, у вас нет директивы SSLCertificateChainFile в вашей конфигурации apache, которая включает файл sub.class1.server.ca.pem вам нужен StartSSL?
Прежде всего, должна быть возможность указать один сертификат для использования для всех клиентов, не поддерживающих SNI. Это означает, что из всех доменов, размещенных на этом IP-адресе, у вас может быть хотя бы один из них, работающий для клиентов без SNI.
То, что вы могли бы сделать, при перенаправлении с http на https - это двухэтапное перенаправление. Первое перенаправление с http на https использует доменное имя, которое, как вы уверены, будет работать с поддержкой SNI или без нее. Должен быть включен полный исходный URL-адрес, чтобы с этого https-сайта вы могли впоследствии перенаправить на правильный.
Имя домена, который работает с SNI или без него, может вести себя по-разному в зависимости от того, поддерживается ли SNI клиентом. Таким образом, вы будете знать, что клиент поддерживает SNI, прежде чем перенаправить его в домен, который требует SNI.
Как именно настроить это на Apache, я буду гадать с моей стороны (поскольку я никогда не настраивал Apache с большим количеством чем один сертификат). Я предполагаю, что способ сделать это - создать виртуальные хосты на основе имен для всех доменов, включая промежуточный домен.
Затем создать виртуальный хост по умолчанию для клиентов без SNI, который использует тот же сертификат, что и тот, который использует имя. Эти два виртуальных хоста с одинаковым сертификатом будут отправлять клиентам разные перенаправления в зависимости от того, поддерживают ли они SNI.
Наконец, я бы включил IPv6 на сервере. Используя IPv6, вы получаете достаточно IP-адресов, которые можно назначить каждому виртуальному хосту. Один и тот же набор виртуальных хостов может иметь имя на основе IPv4 и IP на основе IPv6, поэтому вам не нужно дублировать никакую конфигурацию таким образом.
Конечным результатом будет установка, которая работает, пока клиент поддерживает либо SNI или IPv6. Только клиенты, которые не поддерживают ни то, ни другое, не будут иметь проблемы, но вы все равно сможете их обнаружить и передать другой перенаправление или сообщение об ошибке.
Что касается клиентов, которым не нравится CA, мое единственное предложение - распознать их пользовательским агентом и обрабатывайте их так, как вам кажется подходящим. Убедитесь, что у вас есть ссылка на https-сайт, по которой они могут перейти, если вы по ошибке включили слишком много клиентов.
Один и тот же набор виртуальных хостов может иметь имя на основе IPv4 и IP на основе IPv6, поэтому вам не нужно дублировать никакую конфигурацию таким образом.Конечным результатом будет установка, которая работает, пока клиент поддерживает либо SNI или IPv6. Только клиенты, которые не поддерживают ни то, ни другое, не будут иметь проблемы, но вы все равно сможете их обнаружить и передать другой перенаправление или сообщение об ошибке.
Что касается клиентов, которым не нравится CA, мое единственное предложение - распознать их пользовательским агентом и обрабатывайте их так, как вам кажется подходящим. Убедитесь, что у вас есть ссылка на https-сайт, по которой они могут перейти, если вы по ошибке включили слишком много клиентов.
Один и тот же набор виртуальных хостов может иметь имя на основе IPv4 и IP на основе IPv6, поэтому вам не нужно дублировать никакую конфигурацию таким образом.Конечным результатом будет установка, которая работает, пока клиент поддерживает либо SNI или IPv6. Только клиенты, которые не поддерживают ни то, ни другое, не будут иметь проблемы, но вы все равно сможете их обнаружить и передать другой перенаправление или сообщение об ошибке.
Что касается клиентов, которым не нравится CA, мое единственное предложение - распознать их пользовательским агентом и обрабатывайте их так, как вам кажется подходящим. Убедитесь, что у вас есть ссылка на https-сайт, по которой они могут перейти, если вы по ошибке включили слишком много клиентов.
Только клиенты, которые не поддерживают ни то, ни другое, не будут иметь проблемы, но вы все равно сможете их обнаружить и передать другой перенаправление или сообщение об ошибке.Что касается клиентов, которым не нравится CA, мое единственное предложение - признать их пользовательским агентом и обрабатывайте их так, как вам кажется подходящим. Убедитесь, что у вас есть ссылка на https-сайт, по которой они могут перейти, если вы по ошибке включили слишком много клиентов.
Только клиенты, которые не поддерживают ни то, ни другое, не будут иметь проблемы, но вы все равно сможете их обнаружить и передать другой перенаправление или сообщение об ошибке.Что касается клиентов, которым не нравится CA, мое единственное предложение - распознать их пользовательским агентом и обрабатывайте их так, как вам кажется подходящим. Убедитесь, что у вас есть ссылка на https-сайт, по которой они могут перейти, если вы по ошибке включили слишком много клиентов.