1 <?xml version="1.0" encoding="UTF-8"?>
2 <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
3 <html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head>
4 <meta content="text/html; charset=UTF-8" http-equiv="Content-Type" />
6 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
7 This file is generated from xml source: DO NOT EDIT
8 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
10 <title>mod_ssl - Serveur HTTP Apache Version 2.5</title>
11 <link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
12 <link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
13 <link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="../style/css/prettify.css" />
14 <script src="../style/scripts/prettify.min.js" type="text/javascript">
17 <link href="../images/favicon.ico" rel="shortcut icon" /></head>
19 <div id="page-header">
20 <p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p>
21 <p class="apache">Serveur HTTP Apache Version 2.5</p>
22 <img alt="" src="../images/feather.png" /></div>
23 <div class="up"><a href="./"><img title="<-" alt="<-" src="../images/left.gif" /></a></div>
25 <a href="http://www.apache.org/">Apache</a> > <a href="http://httpd.apache.org/">Serveur HTTP</a> > <a href="http://httpd.apache.org/docs/">Documentation</a> > <a href="../">Version 2.5</a> > <a href="./">Modules</a></div>
26 <div id="page-content">
27 <div id="preamble"><h1>Module Apache mod_ssl</h1>
29 <p><span>Langues Disponibles: </span><a href="../en/mod/mod_ssl.html" hreflang="en" rel="alternate" title="English"> en </a> |
30 <a href="../es/mod/mod_ssl.html" hreflang="es" rel="alternate" title="Español"> es </a> |
31 <a href="../fr/mod/mod_ssl.html" title="Français"> fr </a></p>
33 <table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Chiffrement de haut niveau basé sur les protocoles Secure
34 Sockets Layer (SSL) et Transport Layer Security (TLS)</td></tr>
35 <tr><th><a href="module-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
36 <tr><th><a href="module-dict.html#ModuleIdentifier">Identificateur de Module:</a></th><td>ssl_module</td></tr>
37 <tr><th><a href="module-dict.html#SourceFile">Fichier Source:</a></th><td>mod_ssl.c</td></tr></table>
40 <p>Ce module fournit le support SSL v3 et TLS v1.x au serveur HTTP
41 Apache. SSL v2 n'est plus supporté.</p>
43 <p>Ce module s'appuie sur <a href="http://www.openssl.org/">OpenSSL</a>
44 pour fournir le moteur de chiffrement.</p>
46 <p>D'autres détails, discussions et exemples sont fournis dans la <a href="../ssl/">documentation SSL</a>.</p>
48 <div id="quickview"><h3>Sujets</h3>
50 <li><img alt="" src="../images/down.gif" /> <a href="#envvars">Variables d'environnement</a></li>
51 <li><img alt="" src="../images/down.gif" /> <a href="#logformats">Formats de journaux
52 personnalisés</a></li>
53 <li><img alt="" src="../images/down.gif" /> <a href="#notes">Information à propos de la requête</a></li>
54 <li><img alt="" src="../images/down.gif" /> <a href="#expressionparser">Extension pour l'interprétation
55 des expressions</a></li>
56 <li><img alt="" src="../images/down.gif" /> <a href="#authzproviders">Fournisseurs d'autorisation
57 disponibles avec Require</a></li>
58 </ul><h3 class="directives">Directives</h3>
60 <li><img alt="" src="../images/down.gif" /> <a href="#sslcacertificatefile">SSLCACertificateFile</a></li>
61 <li><img alt="" src="../images/down.gif" /> <a href="#sslcacertificatepath">SSLCACertificatePath</a></li>
62 <li><img alt="" src="../images/down.gif" /> <a href="#sslcadnrequestfile">SSLCADNRequestFile</a></li>
63 <li><img alt="" src="../images/down.gif" /> <a href="#sslcadnrequestpath">SSLCADNRequestPath</a></li>
64 <li><img alt="" src="../images/down.gif" /> <a href="#sslcarevocationcheck">SSLCARevocationCheck</a></li>
65 <li><img alt="" src="../images/down.gif" /> <a href="#sslcarevocationfile">SSLCARevocationFile</a></li>
66 <li><img alt="" src="../images/down.gif" /> <a href="#sslcarevocationpath">SSLCARevocationPath</a></li>
67 <li><img alt="" src="../images/down.gif" /> <a href="#sslcertificatechainfile">SSLCertificateChainFile</a></li>
68 <li><img alt="" src="../images/down.gif" /> <a href="#sslcertificatefile">SSLCertificateFile</a></li>
69 <li><img alt="" src="../images/down.gif" /> <a href="#sslcertificatekeyfile">SSLCertificateKeyFile</a></li>
70 <li><img alt="" src="../images/down.gif" /> <a href="#sslciphersuite">SSLCipherSuite</a></li>
71 <li><img alt="" src="../images/down.gif" /> <a href="#sslcompression">SSLCompression</a></li>
72 <li><img alt="" src="../images/down.gif" /> <a href="#sslcryptodevice">SSLCryptoDevice</a></li>
73 <li><img alt="" src="../images/down.gif" /> <a href="#sslengine">SSLEngine</a></li>
74 <li><img alt="" src="../images/down.gif" /> <a href="#sslfips">SSLFIPS</a></li>
75 <li><img alt="" src="../images/down.gif" /> <a href="#sslhonorcipherorder">SSLHonorCipherOrder</a></li>
76 <li><img alt="" src="../images/down.gif" /> <a href="#sslinsecurerenegotiation">SSLInsecureRenegotiation</a></li>
77 <li><img alt="" src="../images/down.gif" /> <a href="#sslocspdefaultresponder">SSLOCSPDefaultResponder</a></li>
78 <li><img alt="" src="../images/down.gif" /> <a href="#sslocspenable">SSLOCSPEnable</a></li>
79 <li><img alt="" src="../images/down.gif" /> <a href="#sslocspnoverify">SSLOCSPNoverify</a></li>
80 <li><img alt="" src="../images/down.gif" /> <a href="#sslocspoverrideresponder">SSLOCSPOverrideResponder</a></li>
81 <li><img alt="" src="../images/down.gif" /> <a href="#sslocspproxyurl">SSLOCSPProxyURL</a></li>
82 <li><img alt="" src="../images/down.gif" /> <a href="#sslocsprespondercertificatefile">SSLOCSPResponderCertificateFile</a></li>
83 <li><img alt="" src="../images/down.gif" /> <a href="#sslocsprespondertimeout">SSLOCSPResponderTimeout</a></li>
84 <li><img alt="" src="../images/down.gif" /> <a href="#sslocspresponsemaxage">SSLOCSPResponseMaxAge</a></li>
85 <li><img alt="" src="../images/down.gif" /> <a href="#sslocspresponsetimeskew">SSLOCSPResponseTimeSkew</a></li>
86 <li><img alt="" src="../images/down.gif" /> <a href="#sslocspuserequestnonce">SSLOCSPUseRequestNonce</a></li>
87 <li><img alt="" src="../images/down.gif" /> <a href="#sslopensslconfcmd">SSLOpenSSLConfCmd</a></li>
88 <li><img alt="" src="../images/down.gif" /> <a href="#ssloptions">SSLOptions</a></li>
89 <li><img alt="" src="../images/down.gif" /> <a href="#sslpassphrasedialog">SSLPassPhraseDialog</a></li>
90 <li><img alt="" src="../images/down.gif" /> <a href="#sslpolicy">SSLPolicy</a></li>
91 <li><img alt="" src="../images/down.gif" /> <a href="#sslprotocol">SSLProtocol</a></li>
92 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxycacertificatefile">SSLProxyCACertificateFile</a></li>
93 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxycacertificatepath">SSLProxyCACertificatePath</a></li>
94 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxycarevocationcheck">SSLProxyCARevocationCheck</a></li>
95 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxycarevocationfile">SSLProxyCARevocationFile</a></li>
96 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxycarevocationpath">SSLProxyCARevocationPath</a></li>
97 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxycheckpeercn">SSLProxyCheckPeerCN</a></li>
98 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxycheckpeerexpire">SSLProxyCheckPeerExpire</a></li>
99 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxycheckpeername">SSLProxyCheckPeerName</a></li>
100 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxyciphersuite">SSLProxyCipherSuite</a></li>
101 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxyengine">SSLProxyEngine</a></li>
102 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxymachinecertificatechainfile">SSLProxyMachineCertificateChainFile</a></li>
103 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxymachinecertificatefile">SSLProxyMachineCertificateFile</a></li>
104 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxymachinecertificatepath">SSLProxyMachineCertificatePath</a></li>
105 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxyprotocol">SSLProxyProtocol</a></li>
106 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxyverify">SSLProxyVerify</a></li>
107 <li><img alt="" src="../images/down.gif" /> <a href="#sslproxyverifydepth">SSLProxyVerifyDepth</a></li>
108 <li><img alt="" src="../images/down.gif" /> <a href="#sslrandomseed">SSLRandomSeed</a></li>
109 <li><img alt="" src="../images/down.gif" /> <a href="#sslrenegbuffersize">SSLRenegBufferSize</a></li>
110 <li><img alt="" src="../images/down.gif" /> <a href="#sslrequire">SSLRequire</a></li>
111 <li><img alt="" src="../images/down.gif" /> <a href="#sslrequiressl">SSLRequireSSL</a></li>
112 <li><img alt="" src="../images/down.gif" /> <a href="#sslsessioncache">SSLSessionCache</a></li>
113 <li><img alt="" src="../images/down.gif" /> <a href="#sslsessioncachetimeout">SSLSessionCacheTimeout</a></li>
114 <li><img alt="" src="../images/down.gif" /> <a href="#sslsessionticketkeyfile">SSLSessionTicketKeyFile</a></li>
115 <li><img alt="" src="../images/down.gif" /> <a href="#sslsessiontickets">SSLSessionTickets</a></li>
116 <li><img alt="" src="../images/down.gif" /> <a href="#sslsrpunknownuserseed">SSLSRPUnknownUserSeed</a></li>
117 <li><img alt="" src="../images/down.gif" /> <a href="#sslsrpverifierfile">SSLSRPVerifierFile</a></li>
118 <li><img alt="" src="../images/down.gif" /> <a href="#sslstaplingcache">SSLStaplingCache</a></li>
119 <li><img alt="" src="../images/down.gif" /> <a href="#sslstaplingerrorcachetimeout">SSLStaplingErrorCacheTimeout</a></li>
120 <li><img alt="" src="../images/down.gif" /> <a href="#sslstaplingfaketrylater">SSLStaplingFakeTryLater</a></li>
121 <li><img alt="" src="../images/down.gif" /> <a href="#sslstaplingforceurl">SSLStaplingForceURL</a></li>
122 <li><img alt="" src="../images/down.gif" /> <a href="#sslstaplingrespondertimeout">SSLStaplingResponderTimeout</a></li>
123 <li><img alt="" src="../images/down.gif" /> <a href="#sslstaplingresponsemaxage">SSLStaplingResponseMaxAge</a></li>
124 <li><img alt="" src="../images/down.gif" /> <a href="#sslstaplingresponsetimeskew">SSLStaplingResponseTimeSkew</a></li>
125 <li><img alt="" src="../images/down.gif" /> <a href="#sslstaplingreturnrespondererrors">SSLStaplingReturnResponderErrors</a></li>
126 <li><img alt="" src="../images/down.gif" /> <a href="#sslstaplingstandardcachetimeout">SSLStaplingStandardCacheTimeout</a></li>
127 <li><img alt="" src="../images/down.gif" /> <a href="#sslstrictsnivhostcheck">SSLStrictSNIVHostCheck</a></li>
128 <li><img alt="" src="../images/down.gif" /> <a href="#sslusername">SSLUserName</a></li>
129 <li><img alt="" src="../images/down.gif" /> <a href="#sslusestapling">SSLUseStapling</a></li>
130 <li><img alt="" src="../images/down.gif" /> <a href="#sslverifyclient">SSLVerifyClient</a></li>
131 <li><img alt="" src="../images/down.gif" /> <a href="#sslverifydepth">SSLVerifyDepth</a></li>
133 <h3>Traitement des bugs</h3><ul class="seealso"><li><a href="https://www.apache.org/dist/httpd/CHANGES_2.4">Journal des modifications de httpd</a></li><li><a href="https://bz.apache.org/bugzilla/buglist.cgi?bug_status=__open__&list_id=144532&product=Apache%20httpd-2&query_format=specific&order=changeddate%20DESC%2Cpriority%2Cbug_severity&component=mod_ssl">Problèmes connus</a></li><li><a href="https://bz.apache.org/bugzilla/enter_bug.cgi?product=Apache%20httpd-2&component=mod_ssl">Signaler un bug</a></li></ul><h3>Voir aussi</h3>
135 <li><a href="#comments_section">Commentaires</a></li></ul></div>
136 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
137 <div class="section">
138 <h2><a name="envvars" id="envvars">Variables d'environnement</a> <a title="Lien permanent" href="#envvars" class="permalink">¶</a></h2>
140 <p>Ce module peut être configuré pour fournir aux espaces de nommage SSI
141 et CGI de nombreux éléments d'informations concernant SSL par le biais
142 de variables d'environnement supplémentaires. Par défaut, et ceci pour
143 des raisons de performances, ces informations ne sont pas fournies (Voir
144 la directive <code class="directive">SSLOptions</code> StdEnvVars ci-dessous).
145 Les variables générées se trouvent dans la table ci-dessous.
146 L'information peut aussi être disponible sous des noms différents à des
147 fins de compatibilité ascendante. Reportez-vous au chapitre <a href="../ssl/ssl_compat.html">Compatibilité</a> pour plus de détails à
148 propos des variables de compatibilité.</p>
150 <table class="bordered">
153 <th><a name="table3">Nom de la variable :</a></th>
154 <th>Type de valeur :</th>
155 <th>Description :</th>
157 <tr><td><code>HTTPS</code></td> <td>drapeau</td>
158 <td>HTTPS est utilisé.</td></tr>
159 <tr><td><code>SSL_PROTOCOL</code></td> <td>chaîne</td>
160 <td>La version du protocole SSL (SSLv3, TLSv1, TLSv1.1, TLSv1.2)</td></tr>
161 <tr><td><code>SSL_SESSION_ID</code></td> <td>chaîne</td>
162 <td>L'identifiant de session SSL codé en hexadécimal</td></tr>
163 <tr><td><code>SSL_SESSION_RESUMED</code></td> <td>chaîne</td>
164 <td>Session SSL initiale ou reprise. Note : plusieurs requêtes peuvent
165 être servies dans le cadre de la même session SSL (initiale ou reprise)
166 si les connexions persistantes (HTTP KeepAlive) sont utilisées</td></tr>
167 <tr><td><code>SSL_SECURE_RENEG</code></td> <td>chaîne</td>
168 <td><code>true</code> si la renégociation sécurisée est supportée,
169 <code>false</code> dans le cas contraire</td></tr>
170 <tr><td><code>SSL_CIPHER</code></td> <td>chaîne</td>
171 <td>Le nom de l'algorithme de chiffrement</td></tr>
172 <tr><td><code>SSL_CIPHER_EXPORT</code></td> <td>chaîne</td>
173 <td><code>true</code> si l'algorithme de chiffrement est un algorithme
175 <tr><td><code>SSL_CIPHER_USEKEYSIZE</code></td> <td>nombre</td>
176 <td>Nombre de bits de chiffrement (réellement utilisés)</td></tr>
177 <tr><td><code>SSL_CIPHER_ALGKEYSIZE</code></td> <td>nombre</td>
178 <td>Nombre de bits de chiffrement (possible)</td></tr>
179 <tr><td><code>SSL_COMPRESS_METHOD</code></td> <td>chaîne</td>
180 <td>Méthode de compression SSL négociée</td></tr>
182 <tr><td><code>SSL_VERSION_INTERFACE</code></td> <td>chaîne</td>
183 <td>La version du programme mod_ssl</td></tr>
184 <tr><td><code>SSL_VERSION_LIBRARY</code></td> <td>chaîne</td>
185 <td>La version du programme OpenSSL</td></tr>
186 <tr><td><code>SSL_CLIENT_M_VERSION</code></td> <td>chaîne</td>
187 <td>La version du certificat client</td></tr>
188 <tr><td><code>SSL_CLIENT_M_SERIAL</code></td> <td>chaîne</td>
189 <td>Le numéro de série du certificat client</td></tr>
190 <tr><td><code>SSL_CLIENT_S_DN</code></td> <td>chaîne</td>
191 <td>Le DN sujet du certificat client</td></tr>
192 <tr><td><code>SSL_CLIENT_S_DN_</code><em>x509</em></td> <td>chaîne</td>
193 <td>Elément du DN sujet du client</td></tr>
194 <tr><td><code>SSL_CLIENT_SAN_Email_</code><em>n</em></td>
195 <td>chaîne</td> <td>Extensions subjectAltName de type rfc822Name du certificat client</td></tr>
196 <tr><td><code>SSL_CLIENT_SAN_DNS_</code><em>n</em></td> <td>chaîne</td>
197 <td>Extensions subjectAltName de type dNSName du certificat client</td></tr>
198 <tr><td><code>SSL_CLIENT_SAN_OTHER_msUPN_</code><em>n</em></td>
199 <td>chaîne</td> <td>Extensions subjectAltName de type otherName du
200 certificat client, forme Microsoft du nom principal de l'utilisateur (OID 1.3.6.1.4.1.311.20.2.3)</td></tr>
201 <tr><td><code>SSL_CLIENT_I_DN</code></td> <td>chaîne</td>
202 <td>DN de l'émetteur du certificat du client</td></tr>
203 <tr><td><code>SSL_CLIENT_I_DN_</code><em>x509</em></td> <td>chaîne</td>
204 <td>Elément du DN de l'émetteur du certificat du client</td></tr>
205 <tr><td><code>SSL_CLIENT_V_START</code></td> <td>chaîne</td>
206 <td>Validité du certificat du client (date de début)</td></tr>
207 <tr><td><code>SSL_CLIENT_V_END</code></td> <td>chaîne</td>
208 <td>Validité du certificat du client (date de fin)</td></tr>
209 <tr><td><code>SSL_CLIENT_V_REMAIN</code></td> <td>chaîne</td>
210 <td>Nombre de jours avant expiration du certificat du client</td></tr>
211 <tr><td><code>SSL_CLIENT_A_SIG</code></td> <td>chaîne</td>
212 <td>Algorithme utilisé pour la signature du certificat du client</td></tr>
213 <tr><td><code>SSL_CLIENT_A_KEY</code></td> <td>chaîne</td>
214 <td>Algorithme utilisé pour la clé publique du certificat du client</td></tr>
215 <tr><td><code>SSL_CLIENT_CERT</code></td> <td>chaîne</td>
216 <td>Certificat du client au format PEM</td></tr>
217 <tr><td><code>SSL_CLIENT_CERT_CHAIN_</code><em>n</em></td>
218 <td>chaîne</td> <td>Certificats de la chaîne de certification du
219 client au format PEM</td></tr>
220 <tr><td><code>SSL_CLIENT_CERT_RFC4523_CEA</code></td> <td>chaîne</td>
221 <td>Numéro de série et fournisseur du certificat. Le format correspond à
222 celui de la CertificateExactAssertion de la RFC4523</td></tr>
223 <tr><td><code>SSL_CLIENT_VERIFY</code></td> <td>chaîne</td>
224 <td><code>NONE</code>, <code>SUCCESS</code>, <code>GENEROUS</code> ou
225 <code>FAILED:</code><em>raison</em></td></tr>
226 <tr><td><code>SSL_SERVER_M_VERSION</code></td> <td>chaîne</td>
227 <td>La version du certificat du serveur</td></tr>
228 <tr><td><code>SSL_SERVER_M_SERIAL</code></td> <td>chaîne</td> <td>
230 The serial of the server certificate</td></tr>
231 <tr><td><code>SSL_SERVER_S_DN</code></td> <td>chaîne</td>
232 <td>DN sujet du certificat du serveur</td></tr>
233 <tr><td><code>SSL_SERVER_S_DN_</code><em>x509</em></td> <td>chaîne</td>
234 <td>Elément du DN sujet du certificat du serveur</td></tr>
235 <tr><td><code>SSL_SERVER_SAN_Email_</code><em>n</em></td>
236 <td>chaîne</td> <td>Extensions subjectAltName de type rfc822Name du
237 certificat serveur</td></tr>
238 <tr><td><code>SSL_CLIENT_SAN_DNS_</code><em>n</em></td> <td>chaîne</td>
239 <td>Extensions subjectAltName de type dNSName du certificat serveur</td></tr>
240 <tr><td><code>SSL_SERVER_SAN_OTHER_dnsSRV_</code><em>n</em></td>
241 <td>chaîne</td> <td>Extensions subjectAltName de type otherName du
242 certificat serveur, sous la forme SRVName (OID 1.3.6.1.5.5.7.8.7, RFC 4985)</td></tr>
243 <tr><td><code>SSL_SERVER_I_DN</code></td> <td>chaîne</td>
244 <td>DN de l'émetteur du certificat du serveur</td></tr>
245 <tr><td><code>SSL_SERVER_I_DN_</code><em>x509</em></td> <td>chaîne</td>
246 <td>Elément du DN de l'émetteur du certificat du serveur</td></tr>
247 <tr><td><code>SSL_SERVER_V_START</code></td> <td>chaîne</td>
248 <td>Validité du certificat du serveur (date de dédut)</td></tr>
249 <tr><td><code>SSL_SERVER_V_END</code></td> <td>chaîne</td>
250 <td>Validité du certificat du serveur (date de fin)</td></tr>
251 <tr><td><code>SSL_SERVER_A_SIG</code></td> <td>chaîne</td>
252 <td>Algorithme utilisé pour la signature du certificat du serveur</td></tr>
253 <tr><td><code>SSL_SERVER_A_KEY</code></td> <td>chaîne</td>
254 <td>Algorithme utilisé pour la clé publique du certificat du serveur</td></tr>
255 <tr><td><code>SSL_SERVER_CERT</code></td> <td>chaîne</td>
256 <td>Certificat du serveur au format PEM</td></tr>
257 <tr><td><code>SSL_SRP_USER</code></td> <td>string</td>
258 <td>nom d'utilisateur SRP</td></tr>
259 <tr><td><code>SSL_SRP_USERINFO</code></td> <td>string</td>
260 <td>informations sur l'utilisateur SRP</td></tr>
261 <tr><td><code>SSL_TLS_SNI</code></td> <td>string</td>
262 <td>Contenu de l'extension SNI TLS (si supporté par ClientHello)</td></tr>
265 <p><em>x509</em> spécifie un élément de DN X.509 parmi
266 <code>C,ST,L,O,OU,CN,T,I,G,S,D,UID,Email</code>. A partir de la version
267 2.2.0 de httpd, <em>x509</em> peut aussi comporter un suffixe numérique
268 <code>_n</code>. Si le DN en question comporte plusieurs attributs de
269 noms identiques, ce suffixe constitue un index débutant à zéro et
270 permettant de sélectionner un
271 attribut particulier. Par exemple, si le DN sujet du certificat du
272 serveur comporte deux champs OU, on peut utiliser
273 <code>SSL_SERVER_S_DN_OU_0</code> et <code>SSL_SERVER_S_DN_OU_1</code>
274 pour référencer chacun d'entre eux. Un nom de variable sans suffixe
275 <code>_n</code> est équivalent au même nom avec le suffixe
276 <code>_0</code>, ce qui correspond au premier attribut (ou au seul)
278 Lorsque la table d'environnement est remplie en utilisant l'option
279 <code>StdEnvVars</code> de la directive <code class="directive"><a href="#ssloptions">SSLOptions</a></code>, le premier attribut (ou le
280 seul) caractérisant le DN est enregistré avec un nom sans suffixe ;
281 autrement dit, aucune entrée possédant comme suffixe <code>_0</code>
282 n'est enregistrée.</p>
284 <p>Depuis la version 2.4.32 de httpd, il est possible d'ajouter le suffixe
285 <em>_RAW</em> à <em>x509</em> dans un élément DN afin d'éviter la conversion en
286 UTF-8 de la valeur de l'attribut. Il doit être placé après le suffixe index
287 (s'il existe), par exemple <code>SSL_SERVER_S_DN_OU_RAW</code> ou
288 <code>SSL_SERVER_S_DN_OU_0_RAW</code>.</p>
290 <p>Le format des variables <em>*_DN</em> a changé depuis la version
291 2.3.11 d'Apache HTTPD. Voir l'option <code>LegacyDNStringFormat</code>
292 de la directive <code class="directive"><a href="#ssloptions">SSLOptions</a></code> pour
295 <p><code>SSL_CLIENT_V_REMAIN</code> n'est disponible qu'à partir de la
298 <p>Plusieurs variables d'environnement additionnelles peuvent être
299 utilisées dans les expressions <code class="directive">SSLRequire</code>, ou
300 dans les formats de journalisation personnalisés :</p>
302 <div class="note"><pre>HTTP_USER_AGENT PATH_INFO AUTH_TYPE
303 HTTP_REFERER QUERY_STRING SERVER_SOFTWARE
304 HTTP_COOKIE REMOTE_HOST API_VERSION
305 HTTP_FORWARDED REMOTE_IDENT TIME_YEAR
306 HTTP_HOST IS_SUBREQ TIME_MON
307 HTTP_PROXY_CONNECTION DOCUMENT_ROOT TIME_DAY
308 HTTP_ACCEPT SERVER_ADMIN TIME_HOUR
309 THE_REQUEST SERVER_NAME TIME_MIN
310 REQUEST_FILENAME SERVER_PORT TIME_SEC
311 REQUEST_METHOD SERVER_PROTOCOL TIME_WDAY
312 REQUEST_SCHEME REMOTE_ADDR TIME
313 REQUEST_URI REMOTE_USER</pre></div>
315 <p>Dans ces contextes, deux formats spéciaux peuvent aussi être utilisés
319 <dt><code>ENV:<em>nom_variable</em></code></dt>
320 <dd>Correspond à la variable d'environnement standard
321 <em>nom_variable</em>.</dd>
323 <dt><code>HTTP:<em>nom_en-tête</em></code></dt>
324 <dd>Correspond à la valeur de l'en-tête de requête dont le nom est
325 <em>nom_en-tête</em>.</dd>
328 </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
329 <div class="section">
330 <h2><a name="logformats" id="logformats">Formats de journaux
331 personnalisés</a> <a title="Lien permanent" href="#logformats" class="permalink">¶</a></h2>
333 <p>Lorsque <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> est compilé dans le serveur Apache
334 ou même chargé (en mode DSO), des fonctions supplémentaires sont
335 disponibles pour le <a href="mod_log_config.html#formats">Format de journal personnalisé</a> du
336 module <code class="module"><a href="../mod/mod_log_config.html">mod_log_config</a></code>. A ce titre, la fonction de
337 format d'eXtension ``<code>%{</code><em>nom-var</em><code>}x</code>''
338 peut être utilisée pour présenter en extension toute variable fournie
339 par tout module, et en particulier celles fournies par mod_ssl et que
340 vous trouverez dans la table ci-dessus.</p>
342 A des fins de compatibilité ascendante, il existe une fonction de format
343 cryptographique supplémentaire
344 ``<code>%{</code><em>nom</em><code>}c</code>''. Vous trouverez toutes
345 les informations à propos de cette fonction dans le chapitre <a href="../ssl/ssl_compat.html">Compatibilité</a>.</p>
346 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">CustomLog "logs/ssl_request_log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"</pre>
348 <p>Ces formats sont disponibles même si l'option <code>StdEnvVars</code> de la
349 directive <code class="directive"><a href="#ssloptions">SSLOptions</a></code> n'a pas été
351 </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
352 <div class="section">
353 <h2><a name="notes" id="notes">Information à propos de la requête</a> <a title="Lien permanent" href="#notes" class="permalink">¶</a></h2>
355 <p><code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> enregistre des informations à propos de la
356 requête que l'on peut restituer dans les journaux avec la chaîne de
357 format <code>%{<em>nom</em>}n</code> via le module
358 <code class="module"><a href="../mod/mod_log_config.html">mod_log_config</a></code>.</p>
360 <p>Les informations enregistrées sont les suivantes :</p>
363 <dt><code>ssl-access-forbidden</code></dt>
364 <dd>Cette information contient la valeur <code>1</code> si l'accès a
365 été refusé suite à une directive <code class="directive">SSLRequire</code> ou
366 <code class="directive">SSLRequireSSL</code>.</dd>
368 <dt><code>ssl-secure-reneg</code></dt>
369 <dd>Si <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> a été compilé avec une version
370 d'OpenSSL qui supporte la renégociation sécurisée, si SSL est utilisé
371 pour la connexion courante et si le client supporte lui aussi la
372 renégociation sécurisée, cette information contiendra la valeur
373 <code>1</code>. Si le client ne supporte pas la renégociation
374 sécurisée, l'information contiendra la valeur <code>0</code>. Si
375 <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> n'a pas été compilé avec une version
376 d'OpenSSL qui supporte la renégociation sécurisée, ou si SSL n'est pas
377 utilisé pour la connexion courante, le contenu de l'information ne
378 sera pas défini.</dd>
381 </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
382 <div class="section">
383 <h2><a name="expressionparser" id="expressionparser">Extension pour l'interprétation
384 des expressions</a> <a title="Lien permanent" href="#expressionparser" class="permalink">¶</a></h2>
386 <p>Lorsque <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> est compilé statiquement avec
387 Apache, ou même chargé dynamiquement (en tant que module DSO), toute <a name="envvars">variable</a> en provenance de <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> peut
388 être utilisée pour l'<a href="../expr.html">interprétation des
389 expression ap_expr</a>. Les variables peuvent être référencées en
390 utilisant la syntaxe ``<code>%{</code><em>varname</em><code>}</code>''.
391 A partir de la version 2.4.18, on peut aussi utiliser la syntaxe de
392 style <code class="module"><a href="../mod/mod_rewrite.html">mod_rewrite</a></code>
393 ``<code>%{SSL:</code><em>varname</em><code>}</code>'', ou la syntaxe de
394 style fonction ``<code>ssl(</code><em>varname</em><code>)</code>''.</p>
395 <div class="example"><h3>Exemple (en utilisant <code class="module"><a href="../mod/mod_headers.html">mod_headers</a></code>)</h3><pre class="prettyprint lang-config">Header set X-SSL-PROTOCOL "expr=%{SSL_PROTOCOL}"
396 Header set X-SSL-CIPHER "expr=%{SSL:SSL_CIPHER}"</pre>
398 <p>Cette fonctionnalité est disponible même si l'option
399 <code>StdEnvVars</code> de la directive <code class="directive"><a href="#ssloptions">SSLOptions</a></code> n'a pas été définie.</p>
400 </div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
401 <div class="section">
402 <h2><a name="authzproviders" id="authzproviders">Fournisseurs d'autorisation
403 disponibles avec Require</a> <a title="Lien permanent" href="#authzproviders" class="permalink">¶</a></h2>
405 <p><code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> propose quelques fournisseurs
406 d'autorisation à utiliser avec la directive <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code> du module
407 <code class="module"><a href="../mod/mod_authz_core.html">mod_authz_core</a></code>.</p>
409 <h3><a name="reqssl" id="reqssl">Require ssl</a></h3>
411 <p>Le fournisseur <code>ssl</code> refuse l'accès si une connexion
412 n'est pas chiffrée avec SSL. L'effet est similaire à celui de la
413 directive <code class="directive">SSLRequireSSL</code>.</p>
416 <pre class="prettyprint lang-config">Require ssl</pre>
422 <h3><a name="reqverifyclient" id="reqverifyclient">Require ssl-verify-client</a></h3>
424 <p>Le fournisseur <code>ssl</code> autorise l'accès si
425 l'utilisateur est authentifié via un certificat client valide. Ceci
426 n'a un effet que si <code>SSLVerifyClient optional</code> est actif.</p>
428 <p>Dans l'exemple suivant, l'accès est autorisé si le client est
429 authentifié via un certificat client ou par nom d'utilisateur/mot de
432 <pre class="prettyprint lang-config">Require ssl-verify-client
433 Require valid-user</pre>
439 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
440 <div class="directive-section"><h2><a name="sslcacertificatefile" id="sslcacertificatefile">Directive</a> <a name="SSLCACertificateFile" id="SSLCACertificateFile">SSLCACertificateFile</a> <a title="Lien permanent" href="#sslcacertificatefile" class="permalink">¶</a></h2>
441 <table class="directive">
442 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant une concaténation des certificats de CA
443 codés en PEM pour l'authentification des clients</td></tr>
444 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCACertificateFile <var>file-path</var></code></td></tr>
445 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
446 <tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>AuthConfig</td></tr>
447 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
448 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
451 Cette directive permet de définir le fichier <em>tout-en-un</em> où vous
452 pouvez rassembler les certificats des Autorités de Certification (CAs)
453 pour les clients auxquels vous avez à faire. On les utilise pour
454 l'authentification des clients. Un tel fichier contient la simple
455 concaténation des différents fichiers de certificats codés en PEM, par
456 ordre de préférence. Cette directive peut être utilisée à la place et/ou
457 en complément de la directive <code class="directive"><a href="#sslcacertificatepath">SSLCACertificatePath</a></code>.</p>
458 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCACertificateFile "/usr/local/apache2/conf/ssl.crt/ca-bundle-client.crt"</pre>
462 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
463 <div class="directive-section"><h2><a name="sslcacertificatepath" id="sslcacertificatepath">Directive</a> <a name="SSLCACertificatePath" id="SSLCACertificatePath">SSLCACertificatePath</a> <a title="Lien permanent" href="#sslcacertificatepath" class="permalink">¶</a></h2>
464 <table class="directive">
465 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Répertoire des certificats de CA codés en PEM pour
466 l'authentification des clients</td></tr>
467 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCACertificatePath <em>chemin-répertoire</em></code></td></tr>
468 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
469 <tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>AuthConfig</td></tr>
470 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
471 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
474 Cette directive permet de définir le répertoire où sont stockés les
475 certificats des Autorités de Certification (CAs) pour les clients
476 auxquels vous avez à faire. On les utilise pour vérifier le certificat
477 du client au cours de l'authentification de ce dernier.</p>
479 Les fichiers de ce répertoire doivent être codés en PEM et ils sont
480 accédés via des noms de fichier sous forme de condensés ou hash. Il ne
481 suffit donc pas de placer les fichiers de certificats dans ce répertoire
482 : vous devez aussi créer des liens symboliques nommés
483 <em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous
484 assurer que ce répertoire contient les liens symboliques appropriés.</p>
485 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCACertificatePath "/usr/local/apache2/conf/ssl.crt/"</pre>
489 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
490 <div class="directive-section"><h2><a name="sslcadnrequestfile" id="sslcadnrequestfile">Directive</a> <a name="SSLCADNRequestFile" id="SSLCADNRequestFile">SSLCADNRequestFile</a> <a title="Lien permanent" href="#sslcadnrequestfile" class="permalink">¶</a></h2>
491 <table class="directive">
492 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la concaténation des certificats de CA
493 codés en PEM pour la définition de noms de CA acceptables</td></tr>
494 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCADNRequestFile <var>file-path</var></code></td></tr>
495 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
496 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
497 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
499 <p>Lorsque mod_ssl demande un certificat client, une liste de <em>noms
500 d'Autorités de Certification acceptables</em> est envoyée au client au
501 cours de la phase d'initialisation de la connexion SSL. Le client peut
502 alors utiliser cette liste de noms de CA pour sélectionner un certificat
503 client approprié parmi ceux dont il dispose.</p>
505 <p>Si aucune des directives <code class="directive"><a href="#sslcadnrequestpath">SSLCADNRequestPath</a></code> ou <code class="directive"><a href="#sslcadnrequestfile">SSLCADNRequestFile</a></code> n'est définie, la liste
506 de noms de CsA acceptables envoyée au client est la liste des noms de
507 tous les certificats de CA spécifiés par les directives <code class="directive"><a href="#sslcacertificatefile">SSLCACertificateFile</a></code> et <code class="directive"><a href="#sslcacertificatepath">SSLCACertificatePath</a></code> ; en d'autres termes,
508 c'est la liste des noms de CAs qui sera effectivement utilisée pour
509 vérifier le certificat du client.</p>
511 <p>Dans certaines situations, il est utile de pouvoir envoyer
512 une liste de noms de CA acceptables qui diffère de la liste des CAs
513 effectivement utilisés pour vérifier le certificat du client ;
514 considérons par exemple le cas où le certificat du client est signé par
515 des CAs intermédiaires. On peut ici utiliser les directives <code class="directive"><a href="#sslcadnrequestpath">SSLCADNRequestPath</a></code> et/ou <code class="directive"><a href="#sslcadnrequestfile">SSLCADNRequestFile</a></code>, et les noms de CA
516 acceptables seront alors extraits de l'ensemble des certificats contenus
517 dans le répertoire et/ou le fichier définis par cette paire de
520 <p><code class="directive"><a href="#sslcadnrequestfile">SSLCADNRequestFile</a></code> doit
521 spécifier un fichier <em>tou-en-un</em> contenant une concaténation des
522 certificats de CA codés en PEM.</p>
524 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCADNRequestFile "/usr/local/apache2/conf/ca-names.crt"</pre>
528 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
529 <div class="directive-section"><h2><a name="sslcadnrequestpath" id="sslcadnrequestpath">Directive</a> <a name="SSLCADNRequestPath" id="SSLCADNRequestPath">SSLCADNRequestPath</a> <a title="Lien permanent" href="#sslcadnrequestpath" class="permalink">¶</a></h2>
530 <table class="directive">
531 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Répertoire contenant des fichiers de certificats de CA
532 codés en PEM pour la définition de noms de CA acceptables</td></tr>
533 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCADNRequestPath <em>chemin-répertoire</em></code></td></tr>
534 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
535 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
536 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
539 <p>Cette directive optionnelle permet de définir la liste de <em>noms de
540 CAs acceptables</em> qui sera envoyée au client lorsqu'un certificat de
541 client est demandé. Voir la directive <code class="directive"><a href="#sslcadnrequestfile">SSLCADNRequestFile</a></code> pour plus de
544 <p>Les fichiers de ce répertoire doivent être codés en PEM et ils sont
545 accédés via des noms de fichier sous forme de condensés ou hash. Il ne
546 suffit donc pas de placer les fichiers de certificats dans ce répertoire
547 : vous devez aussi créer des liens symboliques nommés
548 <em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous
549 assurer que ce répertoire contient les liens symboliques appropriés.</p>
550 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCADNRequestPath "/usr/local/apache2/conf/ca-names.crt/"</pre>
554 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
555 <div class="directive-section"><h2><a name="sslcarevocationcheck" id="sslcarevocationcheck">Directive</a> <a name="SSLCARevocationCheck" id="SSLCARevocationCheck">SSLCARevocationCheck</a> <a title="Lien permanent" href="#sslcarevocationcheck" class="permalink">¶</a></h2>
556 <table class="directive">
557 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active la vérification des révocations basée sur les CRL</td></tr>
558 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCARevocationCheck chain|leaf|none <em>flag</em>s</code></td></tr>
559 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLCARevocationCheck none</code></td></tr>
560 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
561 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
562 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
563 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le paramètre optionnel <em>flag</em>s est disponible à partir de
564 la version 2.4.21 du serveur HTTP Apache</td></tr>
567 Active la vérification des révocations basée sur les Listes de
568 Révocations de Certificats (CRL). Au moins une des directives <code class="directive"><a href="#sslcarevocationfile">SSLCARevocationFile</a></code> ou <code class="directive"><a href="#sslcarevocationpath">SSLCARevocationPath</a></code> doit être définie.
569 Lorsque cette directive est définie à <code>chain</code> (valeur
570 recommandée), les vérifications CRL sont effectuées sur tous les
571 certificats de la chaîne, alors que la valeur <code>leaf</code> limite
572 la vérification au certificat hors chaîne (la feuille).
575 <h3>Lorsque la directive est définie à <code>chain</code> ou
576 <code>leaf</code>, les CRLs doivent être disponibles pour que la
577 validation réussisse</h3>
579 Avant la version 2.3.15, les vérifications CRL dans mod_ssl
580 réussissaient même si aucune CRL n'était trouvée dans les chemins
581 définis par les directives <code class="directive"><a href="#sslcarevocationfile">SSLCARevocationFile</a></code> ou <code class="directive"><a href="#sslcarevocationpath">SSLCARevocationPath</a></code>. Le comportement a
582 changé avec l'introduction de cette directive : lorsque la vérification
583 est activée, les CRLs <em>doivent</em> être présentes pour que la
584 validation réussisse ; dans le cas contraire, elle échouera avec une
585 erreur <code>"CRL introuvable"</code>.
589 <p>Les <em>drapeau</em>x disponibles sont :</p>
591 <li><code>no_crl_for_cert_ok</code>
593 Avant la version 2.3.15, les vérifications CRL dans mod_ssl
594 réussissaient même si aucune CRL pour le/les certificat(s) vérifié(s) n'était
595 trouvée dans les chemins définis par les directives <code class="directive"><a href="#sslcarevocationfile">SSLCARevocationFile</a></code> ou <code class="directive"><a href="#sslcarevocationpath">SSLCARevocationPath</a></code>.
598 Ce comportement a changé avec l'introduction de cette directive ; par défaut
599 avec <code>chain</code> ou <code>leaf</code>, les CRLs doivent être présents
600 pour que la validation réussisse ; si ce n'est pas le cas, elle échouera
601 avec une erreur <code>"unable to get certificate CRL"</code>.
604 Le <em>drapeau</em> <code>no_crl_for_cert_ok</code> permet de rétablir le
605 comportement précédent.
610 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCARevocationCheck chain</pre>
612 <div class="example"><h3>Compatibilité avec les versions 2.2</h3><pre class="prettyprint lang-config">SSLCARevocationCheck chain no_crl_for_cert_ok</pre>
616 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
617 <div class="directive-section"><h2><a name="sslcarevocationfile" id="sslcarevocationfile">Directive</a> <a name="SSLCARevocationFile" id="SSLCARevocationFile">SSLCARevocationFile</a> <a title="Lien permanent" href="#sslcarevocationfile" class="permalink">¶</a></h2>
618 <table class="directive">
619 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la concaténation des CRLs des CA codés en
620 PEM pour l'authentification des clients</td></tr>
621 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCARevocationFile <var>file-path</var></code></td></tr>
622 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
623 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
624 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
627 Cette directive permet de définir le fichier <em>tout-en-un</em> où sont
628 rassemblées les Listes de Révocation de Certificats (CRLs) des Autorités
629 de certification (CAs) pour les clients auxquels vous avez à faire. On
630 les utilise pour l'authentification des clients. Un tel fichier contient
631 la simple concaténation des différents fichiers de CRLs codés en PEM,
632 dans l'ordre de préférence. Cette directive peut être utilisée à la
633 place et/ou en complément de la directive <code class="directive"><a href="#sslcarevocationpath">SSLCARevocationPath</a></code>.</p>
634 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCARevocationFile "/usr/local/apache2/conf/ssl.crl/ca-bundle-client.crl"</pre>
638 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
639 <div class="directive-section"><h2><a name="sslcarevocationpath" id="sslcarevocationpath">Directive</a> <a name="SSLCARevocationPath" id="SSLCARevocationPath">SSLCARevocationPath</a> <a title="Lien permanent" href="#sslcarevocationpath" class="permalink">¶</a></h2>
640 <table class="directive">
641 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Répertoire des CRLs de CA codés en PEM pour
642 l'authentification des clients</td></tr>
643 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCARevocationPath <em>chemin-répertoire</em></code></td></tr>
644 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
645 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
646 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
649 Cette directive permet de définir le répertoire où sont stockées les
650 Listes de Révocation de Certificats (CRL) des Autorités de Certification
651 (CAs) pour les clients auxquels vous avez à faire. On les utilise pour
652 révoquer les certificats des clients au cours de l'authentification de
655 Les fichiers de ce répertoire doivent être codés en PEM et ils sont
656 accédés via des noms de fichier sous forme de condensés ou hash. Il ne
657 suffit donc pas de placer les fichiers de CRL dans ce répertoire
658 : vous devez aussi créer des liens symboliques nommés
659 <em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous
660 assurer que ce répertoire contient les liens symboliques appropriés.</p>
661 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCARevocationPath "/usr/local/apache2/conf/ssl.crl/"</pre>
665 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
666 <div class="directive-section"><h2><a name="sslcertificatechainfile" id="sslcertificatechainfile">Directive</a> <a name="SSLCertificateChainFile" id="SSLCertificateChainFile">SSLCertificateChainFile</a> <a title="Lien permanent" href="#sslcertificatechainfile" class="permalink">¶</a></h2>
667 <table class="directive">
668 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant les certificats de CA du serveur codés en
670 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCertificateChainFile <var>file-path</var></code></td></tr>
671 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
672 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
673 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
675 <div class="note"><h3>SSLCertificateChainFile est obsolète</h3>
676 <p><code>SSLCertificateChainFile</code> est devenue obsolète avec la
677 version 2.4.8, lorsque la directive
678 <code class="directive"><a href="#sslcertificatefile">SSLCertificateFile</a></code> a été étendue
679 pour supporter aussi les certificats de CA intermédiaires dans le
680 fichier de certificats du serveur.</p>
684 Cette directive permet de définir le fichier optionnel
685 <em>tout-en-un</em> où vous pouvez rassembler les certificats des
686 Autorités de Certification (CA) qui forment la chaîne de certification
687 du certificat du serveur. Cette chaîne débute par le certificat de la CA
688 qui a délivré le certificat du serveur et peut remonter jusqu'au
689 certificat de la CA racine. Un tel fichier contient la simple
690 concaténation des différents certificats de CA codés en PEM, en général
691 dans l'ordre de la chaîne de certification.</p>
692 <p>Elle doit être utilisée à la place et/ou en complément de la
693 directive <code class="directive"><a href="#sslcacertificatepath">SSLCACertificatePath</a></code>
694 pour construire explicitement la chaîne de certification du serveur qui
695 est envoyée au navigateur en plus du certificat du serveur. Elle s'avère
696 particulièrement utile pour éviter les conflits avec les certificats de
697 CA lorsqu'on utilise l'authentification du client. Comme le fait de
698 placer un certificat de CA de la chaîne de certification du serveur dans
699 la directive <code class="directive"><a href="#sslcacertificatepath">SSLCACertificatePath</a></code> produit le même effet
700 pour la construction de la chaîne de certification, cette directive a
701 pour effet colatéral de faire accepter les certificats clients fournis
702 par cette même CA, au cours de l'authentification du client.</p>
704 Soyez cependant prudent : fournir la chaîne de certification ne
705 fonctionne que si vous utilisez un <em>simple</em> certificat de
706 serveur RSA <em>ou</em> DSA. Si vous utilisez une paire de certificats
707 couplés RSA+DSA , cela ne fonctionnera que si les deux certificats
708 utilisent vraiment <em>la même</em> chaîne de certification. Dans le cas
709 contraire, la confusion risque de s'installer au niveau des
711 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCertificateChainFile "/usr/local/apache2/conf/ssl.crt/ca.crt"</pre>
715 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
716 <div class="directive-section"><h2><a name="sslcertificatefile" id="sslcertificatefile">Directive</a> <a name="SSLCertificateFile" id="SSLCertificateFile">SSLCertificateFile</a> <a title="Lien permanent" href="#sslcertificatefile" class="permalink">¶</a></h2>
717 <table class="directive">
718 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier de données contenant les informations de certificat X.509 du serveur
719 codées au format PEM ou identificateur de jeton</td></tr>
720 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCertificateFile <var>file-path</var>|<var>certid</var></code></td></tr>
721 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
722 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
723 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
724 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>L'option <var>certid</var> est disponible à partir de la version
725 2.5.1 du serveur HTTP Apache.</td></tr>
728 Cette directive permet de définir le fichier de données contenant les
729 informations de certificat X.509 du serveur codées au format PEM ou
730 l'identificateur de certificat via un jeton cryptographique. Si on utilise un
731 fichier au format PEM, ce dernier doit contenir au minimum un certificat
732 d'entité finale (feuille). La directive peut être utilisée plusieurs fois (elle
733 référence des fichiers différents) pour accepter plusieurs algorithmes
734 d'authentification au niveau du serveur - souvent RSA, DSA et ECC. Le nombre
735 d'algorithmes supportés dépend de la version d'OpenSSL utilisée avec mod_ssl : à
736 partir de la version 1.0.0, la commande <code>openssl
737 list-public-key-algorithms</code> affiche la liste des algorithmes supportés.
738 Voir aussi la note ci-dessous à propos des limitations des versions d'OpenSSL
739 antérieures à 1.0.2 et la manière de les contourner.
742 <p>Les fichiers peuvent aussi contenir des certificats de CA
743 intermédiaires triés depuis la feuille vers la racine. Cette
744 fonctionnalité est disponible depuis la version 2.4.8 du serveur HTTP
745 Apache, et rend obsolète la directive <code class="directive"><a href="#sslcertificatechainfile">SSLCertificateChainFile</a></code>. A partir de la
746 version 1.0.2 d'OpenSSL, il est alors possible de configurer la chaîne
747 de certification en fonction du certificat.</p>
749 <p>Depuis la version 2.4.7 du serveur HTTP Apache, on peut aussi ajouter
750 des paramètres DH personnalisés et un nom EC
751 curve pour les clés éphémères à la fin du premier fichier défini par la
752 directive <code class="directive"><a href="#sslcertificatefile">SSLCertificateFile</a></code>.
753 Ces paramètres peuvent être générés avec les commandes <code>openssl
754 dhparam</code> et <code>openssl ecparam</code>, et ils peuvent être
755 ajoutés tel quel à la fin du premier fichier de certificat. En effet,
756 seul le premier fichier de certificat défini peut être utilisé pour
757 enregistrer des paramètres personnalisés, car ces derniers s'appliquent
758 indépendamment de l'algorithme d'authentification utilisé.
761 <p>Enfin, il est aussi possible d'ajouter la clé privée du certificat de
762 l'entité finale au fichier de certificat, ce qui permet de se passer
763 d'une directive <code class="directive"><a href="#sslcertificatekeyfile">SSLCertificateKeyFile</a></code> séparée. Cette
764 pratique est cependant fortement déconseillée. En effet, les fichiers de
765 certificats qui contiennent de tels clés embarquées doivent être définis
766 avant les certificats en utilisant un fichier de clé séparé. En outre,
767 si la clé est chiffrée, une boîte de dialogue pour entrer le mot de
768 passe de la clé s'ouvre au démarrage du serveur.
771 <p>Plutôt que de stocker les certificats et les clés privées dans des fichiers,
772 on peut utiliser un identificateur de certificat pour identifier un certificat
773 stocké dans un jeton. Actuellement, seuls les <a href="https://tools.ietf.org/html/rfc7512">URIs PKCS#11</a> sont reconnus comme
774 identificateurs de certificats et peuvent être utilisés en conjonction avec le
775 moteur OpenSSL <code>pkcs11</code>. Si la directive <code class="directive"><a href="#sslcertificatekeyfile">SSLCertificateKeyFile</a></code> est absente, le certificat et
776 la clé privée peuvent être chargés avec l'identificateur spécifié via la
777 directive <code class="directive"><a href="#sslcertificatefile">SSLCertificateFile</a></code>.</p>
780 <h3>Interopérabilité des paramètres DH avec les nombres premiers de
781 plus de 1024 bits</h3>
783 Depuis la version 2.4.7, mod_ssl utilise des
784 paramètres DH standardisés avec des nombres premiers de 2048, 3072 et
785 4096 bits, et avec des nombres premiers de 6144 et 8192 bits depuis la
786 version 2.4.10 (voir <a href="http://www.ietf.org/rfc/rfc3526.txt">RFC
787 3526</a>), et les fournit aux clients en fonction de la longueur de la
788 clé du certificat RSA/DSA. En particulier avec les clients basés sur
789 Java (versions 7 et antérieures), ceci peut provoquer des erreurs au
790 cours de la négociation - voir cette <a href="../ssl/ssl_faq.html#javadh">réponse de la FAQ SSL</a> pour
791 contourner les problèmes de ce genre.
796 <h3>Paramètres DH par défaut lorsqu'on utilise plusieurs certificats et une
797 version d'OpenSSL antérieure à 1.0.2.</h3>
799 Lorsqu'on utilise plusieurs certificats pour supporter différents algorithmes
800 d'authentification (comme RSA, DSA, mais principalement ECC) et une
801 version d'OpenSSL antérieure à 1.0.2, il est recommandé soit d'utiliser des
802 paramètres DH spécifiques (solution à privilégier) en les ajoutant au premier
803 fichier certificat (comme décrit ci-dessus), soit d'ordonner les directives
804 <code class="directive">SSLCertificateFile</code> de façon à ce que les certificats
805 RSA/DSA soit placés <strong>après</strong> les certificats ECC.
808 Cette limitation est présente dans les anciennes versions d'OpenSSL qui
809 présentent toujours le dernier certificat configuré, au lieu
810 de laisser le serveur HTTP Apache déterminer le certificat sélectionné lors de
811 la phase de négociation de la connexion (lorsque les paramètres DH doivent être
812 envoyés à l'hôte distant).
813 De ce fait, le serveur peut sélectionner des paramètres DH par défaut basés sur
814 la longueur de la clé du mauvais certificat (les clés ECC sont beaucoup plus
815 petites que les clés RSA/DSA et leur longueur n'est pas pertinente pour la
816 sélection des nombres premiers DH).
819 Ce problème peut être résolu en créant et configurant des paramètres DH
820 spécifiques (comme décrit ci-dessus), car ils l'emportent toujours sur les
821 paramètres DH par défaut, et vous pourrez ainsi utiliser une longueur spécifique
826 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config"># Exemple utilisant un fichier codé en PEM.
827 SSLCertificateFile "/usr/local/apache2/conf/ssl.crt/server.crt"
828 # Exemple d'utilisation d'un certificat et d'une clé privés issus d'un jeton
830 SSLCertificateFile "pkcs11:token=My%20Token%20Name;id=45"</pre>
834 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
835 <div class="directive-section"><h2><a name="sslcertificatekeyfile" id="sslcertificatekeyfile">Directive</a> <a name="SSLCertificateKeyFile" id="SSLCertificateKeyFile">SSLCertificateKeyFile</a> <a title="Lien permanent" href="#sslcertificatekeyfile" class="permalink">¶</a></h2>
836 <table class="directive">
837 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la clé privée du serveur codée en
839 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCertificateKeyFile <var>file-path</var>|<var>keyid</var></code></td></tr>
840 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
841 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
842 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
843 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td><var>keyid</var> est disponible à partir de la version 2.5.1 du
844 serveur HTTP Apache.</td></tr>
847 Cette directive permet de définir le fichier contenant la clé privée du serveur
848 codée en PEM ou l'identifiant de la clé via un jeton cryptographique défini. Si
849 la clé privée est chiffrée, une boîte de dialogue demandant le mot de passe de
850 cette dernière s'ouvre au démarrage du serveur.</p>
853 Cette directive peut être utilisée plusieurs fois pour référencer
854 différents noms de fichiers, afin de supporter plusieurs algorithmes
855 pour l'authentification du serveur. A chaque directive <code class="directive"><a href="#sslcertificatekeyfile">SSLCertificateKeyFile</a></code> doit être associée
856 une directive <code class="directive">SSLCertificateFile</code> correspondante.</p>
859 La clé privé peut aussi être ajoutée au fichier défini par la directive
860 <code class="directive"><a href="#sslcertificatefile">SSLCertificateFile</a></code>, mais cette
861 pratique est fortement déconseillée. En effet, les fichiers de
862 certificats qui comportent une telle clé doivent être définis après les
863 certificats en utilisant un fichier de clé séparé.</p>
865 <p>Plutôt que de stocker des clés privées dans des fichiers, il est possible
866 d'identifier une clé privée via un identifiant stocké dans un jeton.
867 Actuellement, seuls les <a href="https://tools.ietf.org/html/rfc7512">PKCS#11
868 URIs</a> sont reconnus comme identifiants de clés privées et peuvent être
869 utilisés en conjonction avec le moteur OpenSSL <code>pkcs11</code>.</p>
871 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config"># Pour utiliser une clé privée stockée dans fichier encodé PEM :
872 SSLCertificateKeyFile "/usr/local/apache2/conf/ssl.key/server.key"
873 # Pour utiliser une clé privée à partir d'un jeton PKCS#11 :
874 SSLCertificateKeyFile "pkcs11:token=My%20Token%20Name;id=45"</pre>
878 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
879 <div class="directive-section"><h2><a name="sslciphersuite" id="sslciphersuite">Directive</a> <a name="SSLCipherSuite" id="SSLCipherSuite">SSLCipherSuite</a> <a title="Lien permanent" href="#sslciphersuite" class="permalink">¶</a></h2>
880 <table class="directive">
881 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Algorithmes de chiffrement disponibles pour la négociation
882 au cours de l'initialisation de la connexion SSL</td></tr>
883 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCipherSuite [<em>protocol</em>] <em>cipher-spec</em></code></td></tr>
884 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLCipherSuite DEFAULT (dépend de la version d'OpenSSL
885 installée)</code></td></tr>
886 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, répertoire, .htaccess</td></tr>
887 <tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>AuthConfig</td></tr>
888 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
889 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
892 Cette directive complexe utilise la chaîne <em>cipher-spec</em>
893 contenant la liste des algorithmes de chiffrement OpenSSL que le client
894 peut utiliser au cours de la phase d'initialisation de la connexion SSL. La
895 spécification optionnelle du protocole permet de configurer la suite
896 d'algorithmes de chiffrement pour une version spécifique de SSL. Une des valeurs
897 possibles est "SSL" pour toutes les versions du protocole SSL jusqu'à TLSv1.2
901 Notez que cette directive peut être utilisée aussi bien dans un contexte
902 de serveur que dans un contexte de répertoire. Dans un contexte de
903 serveur, elle s'applique à l'initialisation SSL standard lorsqu'une
904 connexion est établie. Dans un contexte de répertoire, elle force une
905 renégociation SSL avec la liste d'algorithmes de chiffrement spécifiée
906 après la lecture d'une requête HTTP, mais avant l'envoi de la réponse
909 Si la bibliothèque SSL supporte TLSv1.3 (versions d'OpenSSL 1.1.1 et
910 supérieures), il est possible de spécifier le paramètre "TLSv1.3" pour
911 configurer la suite d'algorithmes de chiffrement pour ce protocole. Comme
912 TLSv1.3 n'autorise pas la renégociation, spécifier pour lui des algorithmes de
913 chiffrement dans un contexte de répertoire n'est pas autorisé</p>
915 Pour obtenir la liste des noms d'algorithmes de chiffrement pour TLSv1.3, se
916 référer à la <a href="https://www.openssl.org/docs/manmaster/man3/SSL_CTX_set_ciphersuites.html">the
917 OpenSSL documentation</a>.</p>
919 La liste d'algorithmes de chiffrement SSL spécifiée par l'argument
920 <em>cipher-spec</em> comporte quatre attributs principaux auxquels
921 s'ajoutent quelques attributs secondaires :</p>
923 <li><em>Algorithme d'échange de clés</em>:<br />
924 RSA, Diffie-Hellman, Elliptic Curve Diffie-Hellman, Secure Remote Password.
926 <li><em>Algorithme d'authentification</em>:<br />
927 RSA, Diffie-Hellman, DSS, ECDSA, ou none.
929 <li><em>Algorithme de chiffrement</em>:<br />
930 AES, DES, Triple-DES, RC4, RC2, IDEA, etc...
932 <li><em>Algorithme de condensé MAC</em>:<br />
933 MD5, SHA ou SHA1, SHA256, SHA384.
936 <p>L'algorithme de chiffrement peut aussi provenir de l'extérieur. Les
937 algorithmes SSLv2 ne sont plus supportés.
938 Pour définir les algorithmes à utiliser, on
939 peut soit spécifier tous les algorithmes à la fois, soit utiliser des
940 alias pour spécifier une liste d'algorithmes dans leur ordre de
941 préférence (voir <a href="#table1">Table 1</a>). Les algorithmes et
942 alias effectivement disponibles dépendent de la version d'openssl
943 utilisée. Les versions ultérieures d'openssl sont susceptibles d'inclure
944 des algorithmes supplémentaires.</p>
946 <table class="bordered">
948 <tr><th><a name="table1">Symbole</a></th> <th>Description</th></tr>
949 <tr><td colspan="2"><em>Algorithme d'échange de clés :</em></td></tr>
950 <tr><td><code>kRSA</code></td> <td>Echange de clés RSA</td></tr>
951 <tr><td><code>kDHr</code></td> <td>Echange de clés Diffie-Hellman avec
953 <tr><td><code>kDHd</code></td> <td>Echange de clés Diffie-Hellman avec
955 <tr><td><code>kEDH</code></td> <td>Echange de clés Diffie-Hellman
956 temporaires (pas de certificat)</td> </tr>
957 <tr><td><code>kSRP</code></td> <td>échange de clés avec mot de passe
958 distant sécurisé (SRP)</td></tr>
959 <tr><td colspan="2"><em>Algorithmes d'authentification :</em></td></tr>
960 <tr><td><code>aNULL</code></td> <td>Pas d'authentification</td></tr>
961 <tr><td><code>aRSA</code></td> <td>Authentification RSA</td></tr>
962 <tr><td><code>aDSS</code></td> <td>Authentification DSS</td> </tr>
963 <tr><td><code>aDH</code></td> <td>Authentification Diffie-Hellman</td></tr>
964 <tr><td colspan="2"><em>Algorithmes de chiffrement :</em></td></tr>
965 <tr><td><code>eNULL</code></td> <td>Pas de chiffrement</td> </tr>
966 <tr><td><code>NULL</code></td> <td>alias pour eNULL</td> </tr>
967 <tr><td><code>AES</code></td> <td>Chiffrement AES</td> </tr>
968 <tr><td><code>DES</code></td> <td>Chiffrement DES</td> </tr>
969 <tr><td><code>3DES</code></td> <td>Chiffrement Triple-DES</td> </tr>
970 <tr><td><code>RC4</code></td> <td>Chiffrement RC4</td> </tr>
971 <tr><td><code>RC2</code></td> <td>Chiffrement RC2</td> </tr>
972 <tr><td><code>IDEA</code></td> <td>Chiffrement IDEA</td> </tr>
973 <tr><td colspan="2"><em>Algorithmes de condensés MAC </em>:</td></tr>
974 <tr><td><code>MD5</code></td> <td>Fonction de hashage MD5</td></tr>
975 <tr><td><code>SHA1</code></td> <td>Fonction de hashage SHA1</td></tr>
976 <tr><td><code>SHA</code></td> <td>alias pour SHA1</td> </tr>
977 <tr><td><code>SHA256</code></td> <td>Fonction de hashage SHA256</td> </tr>
978 <tr><td><code>SHA384</code></td> <td>Fonction de hashage SHA384</td> </tr>
979 <tr><td colspan="2"><em>Alias :</em></td></tr>
980 <tr><td><code>SSLv3</code></td> <td>tous les algorithmes de chiffrement
981 SSL version 3.0</td> </tr>
982 <tr><td><code>TLSv1</code></td> <td>tous les algorithmes de chiffrement
983 TLS version 1.0</td> </tr>
984 <tr><td><code>EXP</code></td> <td>tous les algorithmes de chiffrement
986 <tr><td><code>EXPORT40</code></td> <td>tous les algorithmes de chiffrement
987 externes limités à 40 bits</td> </tr>
988 <tr><td><code>EXPORT56</code></td> <td>tous les algorithmes de chiffrement
989 externes limités à 56 bits</td> </tr>
990 <tr><td><code>LOW</code></td> <td>tous les algorithmes de chiffrement
991 faibles (non externes, DES simple)</td></tr>
992 <tr><td><code>MEDIUM</code></td> <td>tous les algorithmes avec
993 chiffrement 128 bits</td> </tr>
994 <tr><td><code>HIGH</code></td> <td>tous les algorithmes
995 utilisant Triple-DES</td> </tr>
996 <tr><td><code>RSA</code></td> <td>tous les algorithmes
997 utilisant l'échange de clés RSA</td> </tr>
998 <tr><td><code>DH</code></td> <td>tous les algorithmes
999 utilisant l'échange de clés Diffie-Hellman</td> </tr>
1000 <tr><td><code>EDH</code></td> <td>tous les algorithmes
1001 utilisant l'échange de clés Diffie-Hellman temporaires</td> </tr>
1002 <tr><td><code>ECDH</code></td> <td>Echange de clés Elliptic Curve Diffie-Hellman</td> </tr>
1003 <tr><td><code>ADH</code></td> <td>tous les algorithmes
1004 utilisant l'échange de clés Diffie-Hellman anonymes</td> </tr>
1005 <tr><td><code>AECDH</code></td> <td>tous les algorithmes utilisant
1006 l'échange de clés Elliptic Curve Diffie-Hellman</td> </tr>
1007 <tr><td><code>SRP</code></td> <td>tous les algorithmes utilisant
1008 l'échange de clés avec mot de passe distant sécurisé (SRP)</td> </tr>
1009 <tr><td><code>DSS</code></td> <td>tous les algorithmes
1010 utilisant l'authentification DSS</td> </tr>
1011 <tr><td><code>ECDSA</code></td> <td>tous les algorithmes utilisant
1012 l'authentification ECDSA</td> </tr>
1013 <tr><td><code>aNULL</code></td> <td>tous les algorithmes n'utilisant
1014 aucune authentification</td> </tr>
1017 Cela devient intéressant lorsque tous ces symboles sont combinés
1018 ensemble pour spécifier les algorithmes disponibles et l'ordre dans
1019 lequel vous voulez les utiliser. Pour simplifier tout cela, vous
1020 disposez aussi d'alias (<code>SSLv3, TLSv1, EXP, LOW, MEDIUM,
1021 HIGH</code>) pour certains groupes d'algorithmes. Ces symboles peuvent
1022 être reliés par des préfixes pour former la chaîne <em>algorithmes</em>.
1023 Les préfixes disponibles sont :</p>
1025 <li>none: ajoute l'algorithme à la liste</li>
1026 <li><code>+</code>: déplace les algorithmes qui conviennent à la
1027 place courante dans la liste</li>
1028 <li><code>-</code>: supprime l'algorithme de la liste (peut être rajouté
1030 <li><code>!</code>: supprime définitivement l'algorithme de la liste (ne
1031 peut <strong>plus</strong> y être rajouté plus tard)</li>
1035 <h3>Les algorithmes <code>aNULL</code>, <code>eNULL</code> et
1036 <code>EXP</code> sont toujours désactivés</h3>
1037 <p>Depuis la version 2.4.7, les
1038 algorithmes de type null ou destinés à l'exportation sont toujours
1039 désactivés car mod_ssl ajoute obligatoirement
1040 <code>!aNULL:!eNULL:!EXP</code> à toute chaîne d'algorithme de
1041 chiffrement à l'initialisation.</p>
1044 <p>Pour vous simplifier la vie, vous pouvez utiliser la commande
1045 ``<code>openssl ciphers -v</code>'' qui vous fournit un moyen simple de
1046 créer la chaîne <em>algorithmes</em> avec succès. La chaîne
1047 <em>algorithmes</em> par défaut dépend de la version des bibliothèques
1048 SSL installées. Supposons qu'elle contienne
1049 ``<code>RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5</code>'', ce qui
1050 stipule de mettre <code>RC4-SHA</code> et <code>AES128-SHA</code> en
1051 premiers, car ces algorithmes présentent un bon compromis entre vitesse
1052 et sécurité. Viennent ensuite les algorithmes de sécurité élevée et
1053 moyenne. En fin de compte, les algorithmes qui n'offrent aucune
1054 authentification sont exclus, comme les algorithmes anonymes
1055 Diffie-Hellman pour SSL, ainsi que tous les algorithmes qui utilisent
1056 <code>MD5</code> pour le hashage, car celui-ci est reconnu comme
1058 <div class="example"><pre>$ openssl ciphers -v 'RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5'
1059 RC4-SHA SSLv3 Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1
1060 AES128-SHA SSLv3 Kx=RSA Au=RSA Enc=AES(128) Mac=SHA1
1061 DHE-RSA-AES256-SHA SSLv3 Kx=DH Au=RSA Enc=AES(256) Mac=SHA1
1063 SEED-SHA SSLv3 Kx=RSA Au=RSA Enc=SEED(128) Mac=SHA1
1064 PSK-RC4-SHA SSLv3 Kx=PSK Au=PSK Enc=RC4(128) Mac=SHA1
1065 KRB5-RC4-SHA SSLv3 Kx=KRB5 Au=KRB5 Enc=RC4(128) Mac=SHA1</pre></div>
1066 <p>Vous trouverez la liste complète des algorithmes RSA & DH
1067 spécifiques à SSL dans la <a href="#table2">Table 2</a>.</p>
1068 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW</pre>
1070 <table class="bordered">
1072 <tr><th><a name="table2">Symbole algorithme</a></th> <th>Protocole</th>
1073 <th>Echange de clés</th> <th>Authentification</th> <th>Chiffrement</th>
1074 <th>Condensé MAC</th> <th>Type</th> </tr>
1075 <tr><td colspan="7"><em>Algorithmes RSA :</em></td></tr>
1076 <tr><td><code>DES-CBC3-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>3DES(168)</td> <td>SHA1</td> <td /> </tr>
1077 <tr><td><code>IDEA-CBC-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>IDEA(128)</td> <td>SHA1</td> <td /> </tr>
1078 <tr><td><code>RC4-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>RC4(128)</td> <td>SHA1</td> <td /> </tr>
1079 <tr><td><code>RC4-MD5</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>RC4(128)</td> <td>MD5</td> <td /> </tr>
1080 <tr><td><code>DES-CBC-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>DES(56)</td> <td>SHA1</td> <td /> </tr>
1081 <tr><td><code>EXP-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>RSA(512)</td> <td>RSA</td> <td>DES(40)</td> <td>SHA1</td> <td> export</td> </tr>
1082 <tr><td><code>EXP-RC2-CBC-MD5</code></td> <td>SSLv3</td> <td>RSA(512)</td> <td>RSA</td> <td>RC2(40)</td> <td>MD5</td> <td> export</td> </tr>
1083 <tr><td><code>EXP-RC4-MD5</code></td> <td>SSLv3</td> <td>RSA(512)</td> <td>RSA</td> <td>RC4(40)</td> <td>MD5</td> <td> export</td> </tr>
1084 <tr><td><code>NULL-SHA</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>None</td> <td>SHA1</td> <td /> </tr>
1085 <tr><td><code>NULL-MD5</code></td> <td>SSLv3</td> <td>RSA</td> <td>RSA</td> <td>None</td> <td>MD5</td> <td /> </tr>
1086 <tr><td colspan="7"><em>Algorithmes Diffie-Hellman :</em></td></tr>
1087 <tr><td><code>ADH-DES-CBC3-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>None</td> <td>3DES(168)</td> <td>SHA1</td> <td /> </tr>
1088 <tr><td><code>ADH-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>None</td> <td>DES(56)</td> <td>SHA1</td> <td /> </tr>
1089 <tr><td><code>ADH-RC4-MD5</code></td> <td>SSLv3</td> <td>DH</td> <td>None</td> <td>RC4(128)</td> <td>MD5</td> <td /> </tr>
1090 <tr><td><code>EDH-RSA-DES-CBC3-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>RSA</td> <td>3DES(168)</td> <td>SHA1</td> <td /> </tr>
1091 <tr><td><code>EDH-DSS-DES-CBC3-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>DSS</td> <td>3DES(168)</td> <td>SHA1</td> <td /> </tr>
1092 <tr><td><code>EDH-RSA-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>RSA</td> <td>DES(56)</td> <td>SHA1</td> <td /> </tr>
1093 <tr><td><code>EDH-DSS-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH</td> <td>DSS</td> <td>DES(56)</td> <td>SHA1</td> <td /> </tr>
1094 <tr><td><code>EXP-EDH-RSA-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH(512)</td> <td>RSA</td> <td>DES(40)</td> <td>SHA1</td> <td> export</td> </tr>
1095 <tr><td><code>EXP-EDH-DSS-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH(512)</td> <td>DSS</td> <td>DES(40)</td> <td>SHA1</td> <td> export</td> </tr>
1096 <tr><td><code>EXP-ADH-DES-CBC-SHA</code></td> <td>SSLv3</td> <td>DH(512)</td> <td>None</td> <td>DES(40)</td> <td>SHA1</td> <td> export</td> </tr>
1097 <tr><td><code>EXP-ADH-RC4-MD5</code></td> <td>SSLv3</td> <td>DH(512)</td> <td>None</td> <td>RC4(40)</td> <td>MD5</td> <td> export</td> </tr>
1101 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1102 <div class="directive-section"><h2><a name="sslcompression" id="sslcompression">Directive</a> <a name="SSLCompression" id="SSLCompression">SSLCompression</a> <a title="Lien permanent" href="#sslcompression" class="permalink">¶</a></h2>
1103 <table class="directive">
1104 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Permet d'activer la compression au niveau SSL</td></tr>
1105 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCompression on|off</code></td></tr>
1106 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLCompression off</code></td></tr>
1107 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1108 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1109 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1110 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.4.3 du serveur HTTP
1111 Apache, si on utilise une version d'OpenSSL 0.9.8 ou supérieure ;
1112 l'utilisation dans un contexte de serveur virtuel n'est disponible que
1113 si on utilise une version d'OpenSSL 1.0.0 ou supérieure. La valeur par
1114 défaut était <code>on</code> dans la version 2.4.3.</td></tr>
1116 <p>Cette directive permet d'activer la compression au niveau SSL.</p>
1117 <div class="warning">
1118 <p>L'activation de la compression est à l'origine de problèmes de
1119 sécurité dans la plupart des configurations (l'attaque nommée CRIME).</p>
1123 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1124 <div class="directive-section"><h2><a name="sslcryptodevice" id="sslcryptodevice">Directive</a> <a name="SSLCryptoDevice" id="SSLCryptoDevice">SSLCryptoDevice</a> <a title="Lien permanent" href="#sslcryptodevice" class="permalink">¶</a></h2>
1125 <table class="directive">
1126 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active l'utilisation d'un accélérateur matériel de
1127 chiffrement</td></tr>
1128 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCryptoDevice <em>moteur</em></code></td></tr>
1129 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLCryptoDevice builtin</code></td></tr>
1130 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale</td></tr>
1131 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1132 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1135 Cette directive permet d'activer l'utilisation d'une carte accélératrice
1136 de chiffrement qui prendra en compte certaines parties du traitement
1137 relatif à SSL. Cette directive n'est utilisable que si la boîte à
1138 outils SSL à été compilée avec le support "engine" ; les versions 0.9.7
1139 et supérieures d'OpenSSL possèdent par défaut le support "engine", alors
1140 qu'avec la version 0.9.6, il faut utiliser les distributions séparées
1143 <p>Pour déterminer les moteurs supportés, exécutez la commande
1144 "<code>openssl engine</code>".</p>
1146 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config"># Pour un accélérateur Broadcom :
1147 SSLCryptoDevice ubsec</pre>
1151 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1152 <div class="directive-section"><h2><a name="sslengine" id="sslengine">Directive</a> <a name="SSLEngine" id="SSLEngine">SSLEngine</a> <a title="Lien permanent" href="#sslengine" class="permalink">¶</a></h2>
1153 <table class="directive">
1154 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Interrupteur marche/arrêt du moteur SSL</td></tr>
1155 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLEngine on|off|optional</code></td></tr>
1156 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLEngine off</code></td></tr>
1157 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1158 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1159 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1161 <p> Cette directive permet d'activer/désactiver le moteur du protocole SSL/TLS.
1162 Elle doit être définie dans une section
1163 <code class="directive"><a href="../mod/core.html#virtualhost"><VirtualHost></a></code> pour activer
1164 SSL/TLS pour ce serveur virtuel particulier. Par défaut, le moteur du protocole
1165 SSL/TLS est désactivé pour le serveur principal et tous les serveurs virtuels
1167 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config"><VirtualHost _default_:443>
1170 </VirtualHost></pre>
1172 <p><code class="directive">SSLEngine</code> peut être définie à <code>optional</code>,
1173 ce qui active le support de <a href="http://www.ietf.org/rfc/rfc2817.txt">RFC
1178 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1179 <div class="directive-section"><h2><a name="sslfips" id="sslfips">Directive</a> <a name="SSLFIPS" id="SSLFIPS">SSLFIPS</a> <a title="Lien permanent" href="#sslfips" class="permalink">¶</a></h2>
1180 <table class="directive">
1181 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Coimmutateur du mode SSL FIPS</td></tr>
1182 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLFIPS on|off</code></td></tr>
1183 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLFIPS off</code></td></tr>
1184 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale</td></tr>
1185 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1186 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1189 Cette directive permet d'activer/désactiver l'utilisation du drapeau
1190 FIPS_mode de la bibliothèque SSL. Elle doit être définie dans le
1191 contexte du serveur principal, et n'accepte pas les configurations
1192 sources de conflits (SSLFIPS on suivi de SSLFIPS off par exemple). Le
1193 mode s'applique à toutes les opérations de la bibliothèque SSL.
1196 Si httpd a été compilé avec une bibliothèque SSL qui ne supporte pas le
1197 drapeau FIPS_mode, la directive <code>SSLFIPS on</code> échouera.
1198 Reportez-vous au document sur la politique de sécurité FIPS 140-2 de la
1199 bibliothèque du fournisseur SSL, pour les prérequis spécifiques
1200 nécessaires à l'utilisation de mod_ssl selon un mode d'opération
1201 approuvé par FIPS 140-2 ; notez que mod_ssl en lui-même n'est pas
1202 validé, mais peut être décrit comme utilisant un module de chiffrement
1203 validé par FIPS 140-2, lorsque tous les composants sont assemblés et mis
1204 en oeuvre selon les recommandations de la politique de sécurité
1209 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1210 <div class="directive-section"><h2><a name="sslhonorcipherorder" id="sslhonorcipherorder">Directive</a> <a name="SSLHonorCipherOrder" id="SSLHonorCipherOrder">SSLHonorCipherOrder</a> <a title="Lien permanent" href="#sslhonorcipherorder" class="permalink">¶</a></h2>
1211 <table class="directive">
1212 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Option permettant de classer les algorithmes de chiffrement
1213 du serveur par ordre de préférence</td></tr>
1214 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLHonorCipherOrder on|off</code></td></tr>
1215 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLHonorCipherOrder off</code></td></tr>
1216 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1217 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1218 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1220 <p>Normalement, ce sont les préférences du client qui sont prises en
1221 compte lors du choix d'un algorithme de chiffrement au cours d'une
1222 négociation SSLv3 ou TLSv1. Si cette directive est activée, ce sont les
1223 préférences du serveur qui seront prises en compte à la place.</p>
1224 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLHonorCipherOrder on</pre>
1228 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1229 <div class="directive-section"><h2><a name="sslinsecurerenegotiation" id="sslinsecurerenegotiation">Directive</a> <a name="SSLInsecureRenegotiation" id="SSLInsecureRenegotiation">SSLInsecureRenegotiation</a> <a title="Lien permanent" href="#sslinsecurerenegotiation" class="permalink">¶</a></h2>
1230 <table class="directive">
1231 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Option permettant d'activer le support de la renégociation
1232 non sécurisée</td></tr>
1233 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLInsecureRenegotiation on|off</code></td></tr>
1234 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLInsecureRenegotiation off</code></td></tr>
1235 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1236 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1237 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1238 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible si une version 0.9.8m
1239 ou supérieure d'OpenSSL est utilisée</td></tr>
1241 <p>Comme il a été spécifié, toutes les versions des protocoles SSL et
1242 TLS (jusqu'à la version 1.2 de TLS incluse) étaient vulnérables à une
1243 attaque de type Man-in-the-Middle (<a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2009-3555">CVE-2009-3555</a>)
1244 au cours d'une renégociation. Cette vulnérabilité permettait à un
1245 attaquant de préfixer la requête HTTP (telle qu'elle était vue du
1246 serveur) avec un texte choisi. Une extension du protocole a été
1247 développée pour corriger cette vulnérabilité, sous réserve qu'elle soit
1248 supportée par le client et le serveur.</p>
1250 <p>Si <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> est lié à une version 0.9.8m ou
1251 supérieure d'OpenSSL, par défaut, la renégociation n'est accordée qu'aux
1252 clients qui supportent la nouvelle extension du protocole. Si
1253 cette directive est activée, la renégociation sera accordée aux anciens
1254 clients (non patchés), quoique de manière non sécurisée</p>
1256 <div class="warning"><h3>Avertissement à propos de la sécurité</h3>
1257 <p>Si cette directive est activée, les connexions SSL seront vulnérables
1258 aux attaques de type préfixe Man-in-the-Middle comme décrit dans <a href="http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2009-3555">CVE-2009-3555</a>.</p>
1261 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLInsecureRenegotiation on</pre>
1264 <p>La variable d'environnement <code>SSL_SECURE_RENEG</code> peut être
1265 utilisée dans un script SSI ou CGI pour déterminer si la renégociation
1266 sécurisée est supportée pour une connexion SSL donnée.</p>
1270 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1271 <div class="directive-section"><h2><a name="sslocspdefaultresponder" id="sslocspdefaultresponder">Directive</a> <a name="SSLOCSPDefaultResponder" id="SSLOCSPDefaultResponder">SSLOCSPDefaultResponder</a> <a title="Lien permanent" href="#sslocspdefaultresponder" class="permalink">¶</a></h2>
1272 <table class="directive">
1273 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit l'URI du répondeur par défaut pour la validation
1275 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPDefaultResponder <em>uri</em></code></td></tr>
1276 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1277 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1278 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1280 <p>Cette directive permet de définir le répondeur OCSP par défaut. Si la
1281 directive <code class="directive"><a href="#sslocspoverrideresponder">SSLOCSPOverrideResponder</a></code> n'est pas activée,
1282 l'URI spécifié ne sera utilisé que si aucun URI de répondeur n'est
1283 spécifié dans le certificat en cours de vérification.</p>
1286 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1287 <div class="directive-section"><h2><a name="sslocspenable" id="sslocspenable">Directive</a> <a name="SSLOCSPEnable" id="SSLOCSPEnable">SSLOCSPEnable</a> <a title="Lien permanent" href="#sslocspenable" class="permalink">¶</a></h2>
1288 <table class="directive">
1289 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active la validation OCSP de la chaîne de certificats du
1291 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPEnable on|leaf|off</code></td></tr>
1292 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLOCSPEnable off</code></td></tr>
1293 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1294 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1295 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1296 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le mode <em>leaf</em> est disponible à partir de la version
1297 2.4.34 du serveur HTTP Apache</td></tr>
1299 <p>Cette directive permet d'activer la validation OCSP de la chaîne de
1300 certificats du client. Si elle est activée, les certificats de la chaîne
1301 de certificats du client seront validés auprès d'un répondeur OCSP, une
1302 fois la vérification normale effectuée (vérification des CRLs
1303 incluse). En mode 'leaf', seul le certificat du client sera validé.</p>
1305 <p>Le répondeur OCSP utilisé est soit extrait du certificat lui-même,
1306 soit spécifié dans la configuration ; voir les directives <code class="directive"><a href="#sslocspdefaultresponder">SSLOCSPDefaultResponder</a></code> et <code class="directive"><a href="#sslocspoverrideresponder">SSLOCSPOverrideResponder</a></code>.</p>
1308 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLVerifyClient on
1310 SSLOCSPDefaultResponder "http://responder.example.com:8888/responder"
1311 SSLOCSPOverrideResponder on</pre>
1315 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1316 <div class="directive-section"><h2><a name="sslocspnoverify" id="sslocspnoverify">Directive</a> <a name="SSLOCSPNoverify" id="SSLOCSPNoverify">SSLOCSPNoverify</a> <a title="Lien permanent" href="#sslocspnoverify" class="permalink">¶</a></h2>
1317 <table class="directive">
1318 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Evite la vérification des certificats des répondeurs OCSP</td></tr>
1319 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPNoverify on|off</code></td></tr>
1320 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLOCSPNoverify off</code></td></tr>
1321 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1322 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1323 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1324 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.4.26 du serveur HTTP Apache,
1325 sous réserve d'utiliser une version 0.9.7 ou supérieure d'OpenSSL</td></tr>
1327 <p>Cette directive permet d'éviter la vérification des certificats
1328 des répondeurs OCSP, ce qui peut s'avérer utile lorsqu'on teste un serveur OCSP.</p>
1331 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1332 <div class="directive-section"><h2><a name="sslocspoverrideresponder" id="sslocspoverrideresponder">Directive</a> <a name="SSLOCSPOverrideResponder" id="SSLOCSPOverrideResponder">SSLOCSPOverrideResponder</a> <a title="Lien permanent" href="#sslocspoverrideresponder" class="permalink">¶</a></h2>
1333 <table class="directive">
1334 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Force l'utilisation de l'URI du répondeur par défaut pour
1335 la validation OCSP</td></tr>
1336 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPOverrideResponder on|off</code></td></tr>
1337 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLOCSPOverrideResponder off</code></td></tr>
1338 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1339 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1340 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1342 <p>Force l'utilisation, au cours d'une validation OCSP de certificat, du
1343 répondeur OCSP par défaut spécifié dans la configuration, que le
1344 certificat en cours de vérification fasse mention d'un répondeur OCSP ou
1348 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1349 <div class="directive-section"><h2><a name="sslocspproxyurl" id="sslocspproxyurl">Directive</a> <a name="SSLOCSPProxyURL" id="SSLOCSPProxyURL">SSLOCSPProxyURL</a> <a title="Lien permanent" href="#sslocspproxyurl" class="permalink">¶</a></h2>
1350 <table class="directive">
1351 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Adresse de mandataire à utiliser pour les requêtes OCSP</td></tr>
1352 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPProxyURL <em>url</em></code></td></tr>
1353 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1354 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1355 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1356 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.4.19 du serveur HTTP Apache</td></tr>
1358 <p>Cette directive permet de définir l'URL d'un mandataire HTTP qui devra être
1359 utilisé pour toutes les requêtes vers un répondeur OCSP.</p>
1362 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1363 <div class="directive-section"><h2><a name="sslocsprespondercertificatefile" id="sslocsprespondercertificatefile">Directive</a> <a name="SSLOCSPResponderCertificateFile" id="SSLOCSPResponderCertificateFile">SSLOCSPResponderCertificateFile</a> <a title="Lien permanent" href="#sslocsprespondercertificatefile" class="permalink">¶</a></h2>
1364 <table class="directive">
1365 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fournit un jeu de certificats de confiance du répondeur OCSP avec
1366 encodage PEM</td></tr>
1367 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPResponderCertificateFile <em>file</em></code></td></tr>
1368 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1369 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1370 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1371 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.4.26 du serveur HTTP Apache,
1372 sous réserve d'utiliser une version 0.9.7 ou supérieure d'OpenSSL</td></tr>
1374 <p>Cette directive permet de définir un fichier contenant une liste de
1375 certificats de confiance du répondeur OCSP à utiliser au cours de la validation
1376 du certificat du répondeur OCSP. Les certificats fournis peuvent
1377 être considérés comme de confiance sans avoir à effectuer de vérifications
1378 supplémentaires. Ce processus de validation du certificat du répondeur OCSP
1379 intervient en général lorsque ce dernier est autosigné ou tout simplement absent
1380 de la réponse OCSP.</p>
1383 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1384 <div class="directive-section"><h2><a name="sslocsprespondertimeout" id="sslocsprespondertimeout">Directive</a> <a name="SSLOCSPResponderTimeout" id="SSLOCSPResponderTimeout">SSLOCSPResponderTimeout</a> <a title="Lien permanent" href="#sslocsprespondertimeout" class="permalink">¶</a></h2>
1385 <table class="directive">
1386 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Délai d'attente pour les requêtes OCSP</td></tr>
1387 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPResponderTimeout <em>secondes</em></code></td></tr>
1388 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLOCSPResponderTimeout 10</code></td></tr>
1389 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1390 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1391 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1393 <p>Cette option permet de définir le délai d'attente pour les requêtes à
1394 destination des répondeurs OCSP, lorsque la directive <code class="directive"><a href="#sslocspenable">SSLOCSPEnable</a></code> est à on.</p>
1397 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1398 <div class="directive-section"><h2><a name="sslocspresponsemaxage" id="sslocspresponsemaxage">Directive</a> <a name="SSLOCSPResponseMaxAge" id="SSLOCSPResponseMaxAge">SSLOCSPResponseMaxAge</a> <a title="Lien permanent" href="#sslocspresponsemaxage" class="permalink">¶</a></h2>
1399 <table class="directive">
1400 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Age maximum autorisé pour les réponses OCSP</td></tr>
1401 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPResponseMaxAge <em>secondes</em></code></td></tr>
1402 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLOCSPResponseMaxAge -1</code></td></tr>
1403 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1404 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1405 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1407 <p>Cette option permet de définir l'âge maximum autorisé (la
1408 "fraicheur") des réponses OCSP. La valeur par défault (<code>-1</code>)
1409 signifie qu'aucun âge maximum n'est définit ; autrement dit, les
1410 réponses OCSP sont considérées comme valides tant que la valeur de leur
1411 champ <code>nextUpdate</code> se situe dans le futur.</p>
1414 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1415 <div class="directive-section"><h2><a name="sslocspresponsetimeskew" id="sslocspresponsetimeskew">Directive</a> <a name="SSLOCSPResponseTimeSkew" id="SSLOCSPResponseTimeSkew">SSLOCSPResponseTimeSkew</a> <a title="Lien permanent" href="#sslocspresponsetimeskew" class="permalink">¶</a></h2>
1416 <table class="directive">
1417 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Dérive temporelle maximale autorisée pour la validation des
1418 réponses OCSP</td></tr>
1419 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPResponseTimeSkew <em>secondes</em></code></td></tr>
1420 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLOCSPResponseTimeSkew 300</code></td></tr>
1421 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1422 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1423 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1425 <p>Cette option permet de définir la dérive temporelle maximale
1426 autorisée pour les réponses OCSP (lors de la vérification des champs
1427 <code>thisUpdate</code> et <code>nextUpdate</code>).</p>
1430 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1431 <div class="directive-section"><h2><a name="sslocspuserequestnonce" id="sslocspuserequestnonce">Directive</a> <a name="SSLOCSPUseRequestNonce" id="SSLOCSPUseRequestNonce">SSLOCSPUseRequestNonce</a> <a title="Lien permanent" href="#sslocspuserequestnonce" class="permalink">¶</a></h2>
1432 <table class="directive">
1433 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Utilisation d'un nombre à usage unique au sein des requêtes
1435 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOCSPUseRequestNonce on|off</code></td></tr>
1436 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLOCSPUseRequestNonce on</code></td></tr>
1437 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1438 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1439 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1440 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.4.10 du serveur HTTP
1443 <p>Cette directive permet de spécifier si les requêtes vers les
1444 répondeurs OCSP doivent contenir un nombre à usage unique ou non. Par
1445 défaut, un nombre à usage unique est toujours présent dans les requêtes
1446 et il est comparé à celui de la réponse. Lorsque le répondeur n'utilise pas de
1447 nombre à usage unique (comme Microsoft OCSP Responder), cette directive
1448 doit être définie à <code>off</code>.</p>
1451 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1452 <div class="directive-section"><h2><a name="sslopensslconfcmd" id="sslopensslconfcmd">Directive</a> <a name="SSLOpenSSLConfCmd" id="SSLOpenSSLConfCmd">SSLOpenSSLConfCmd</a> <a title="Lien permanent" href="#sslopensslconfcmd" class="permalink">¶</a></h2>
1453 <table class="directive">
1454 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configuration des paramètres d'OpenSSL via son API <em>SSL_CONF</em></td></tr>
1455 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOpenSSLConfCmd <em>commande</em> <em>valeur</em></code></td></tr>
1456 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1457 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1458 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1459 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible depuis la version 2.4.8 du serveur HTTP
1460 Apache avec OpenSSL 1.0.2 ou supérieur</td></tr>
1462 <p>Cette directive permet à mod_ssl d'accéder à l'API <em>SSL_CONF</em>
1463 d'OpenSSL. Il n'est ainsi plus nécessaire d'implémenter des
1464 directives supplémentaires pour <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> lorsque de nouvelles
1465 fonctionnalités sont ajoutées à OpenSSL, ce qui rend la configuration de
1466 ce dernier beaucoup plus souple.</p>
1468 <p>Le jeu de commandes disponibles pour la directive
1469 <code class="directive">SSLOpenSSLConfCmd</code> dépend de la version d'OpenSSL
1470 utilisée pour <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> (la version minimale 1.0.2 est un
1471 prérequis). Pour obtenir la liste des commandes supportées, voir la
1472 section <em>Supported configuration file commands</em> de la page de
1473 manuel d'OpenSSL <a href="http://www.openssl.org/docs/man1.0.2/ssl/SSL_CONF_cmd.html#SUPPORTED-CONFIGURATION-FILE-COMMANDS">SSL_CONF_cmd(3)</a>.</p>
1475 <p>Certaines commandes peuvent remplacer des directives existantes
1476 (comme <code class="directive"><a href="#sslciphersuite">SSLCipherSuite</a></code> ou
1477 <code class="directive"><a href="#sslprotocol">SSLProtocol</a></code>) ; notez cependant
1478 que la syntaxe et/ou les valeurs possibles peuvent différer.</p>
1480 <div class="example"><h3>Examples</h3><pre class="prettyprint lang-config">SSLOpenSSLConfCmd Options -SessionTicket,ServerPreference
1481 SSLOpenSSLConfCmd ECDHParameters brainpoolP256r1
1482 SSLOpenSSLConfCmd ServerInfoFile "/usr/local/apache2/conf/server-info.pem"
1483 SSLOpenSSLConfCmd Protocol "-ALL, TLSv1.2"
1484 SSLOpenSSLConfCmd SignatureAlgorithms RSA+SHA384:ECDSA+SHA256</pre>
1488 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1489 <div class="directive-section"><h2><a name="ssloptions" id="ssloptions">Directive</a> <a name="SSLOptions" id="SSLOptions">SSLOptions</a> <a title="Lien permanent" href="#ssloptions" class="permalink">¶</a></h2>
1490 <table class="directive">
1491 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configure différentes options d'exécution du moteur
1493 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLOptions [+|-]<em>option</em> ...</code></td></tr>
1494 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, répertoire, .htaccess</td></tr>
1495 <tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>Options</td></tr>
1496 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1497 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1500 Cette directive permet de contrôler différentes options d'exécution du
1501 moteur SSL dans un contexte de répertoire. Normalement, si plusieurs
1502 <code>SSLOptions</code> peuvent s'appliquer à un répertoire, c'est la
1503 plus spécifique qui est véritablement prise en compte ; les options ne
1504 se combinent pas entre elles. Elles se combinent cependant entre elles
1505 si elles sont <em>toutes</em> précédées par un symbole plus
1506 (<code>+</code>) ou moins (<code>-</code>). Toute option précédée d'un
1507 <code>+</code> est ajoutée aux options actuellement en vigueur, et toute
1508 option précédée d'un <code>-</code> est supprimée de ces mêmes
1512 Les <em>option</em>s disponibles sont :</p>
1514 <li><code>StdEnvVars</code>
1516 Lorsque cette option est activée, le jeu standard de variables
1517 d'environnement SSL relatives à CGI/SSI est créé. Cette option est
1518 désactivée par défaut pour des raisons de performances, car
1519 l'extraction des informations constitue une opération assez coûteuse
1520 en ressources. On n'active donc en général cette option que pour les
1521 requêtes CGI et SSI.</p>
1523 <li><code>ExportCertData</code>
1525 Lorsque cette option est activée, des variables d'environnement
1526 CGI/SSI supplémentaires sont créées : <code>SSL_SERVER_CERT</code>,
1527 <code>SSL_CLIENT_CERT</code> et
1528 <code>SSL_CLIENT_CERT_CHAIN_</code><em>n</em> (avec <em>n</em> =
1529 0,1,2,..). Elles contiennent les certificats X.509 codés en PEM du
1530 serveur et du client pour la connexion HTTPS courante, et peuvent
1531 être utilisées par les scripts CGI pour une vérification de
1532 certificat plus élaborée. De plus, tous les autres certificats de la
1533 chaîne de certificats du client sont aussi fournis. Tout ceci gonfle
1534 un peu l'environnement, et c'est la raison pour laquelle vous ne
1535 devez activer cette option qu'à la demande.</p>
1537 <li><code>FakeBasicAuth</code>
1539 Lorsque cette option est activée, le Nom Distinctif (DN) sujet du
1540 certificat client X509 est traduit en un nom d'utilisateur pour
1541 l'autorisation HTTP de base. Cela signifie que les méthodes
1542 d'authentification standard d'Apache peuvent être utilisées pour le
1543 contrôle d'accès. Le nom d'utilisateur est tout simplement le Sujet
1544 du certificat X509 du client (il peut être déterminé en utilisant la
1545 commande OpenSSL <code>openssl x509</code> : <code>openssl x509
1546 -noout -subject -in </code><em>certificat</em><code>.crt</code>). La
1547 directive optionnelle <code class="directive"><a href="#sslusername">SSLUserName</a></code> permet de spécifier quelle
1548 partie du sujet du certificat est incluse dans le nom d'utilisateur.
1549 Notez qu'aucun mot de passe n'est envoyé par l'utilisateur. Chaque
1550 entrée du fichier des utilisateurs doit comporter ce mot de passe :
1551 ``<code>xxj31ZMTZzkVA</code>'', qui est la version chiffrée en DES
1552 du mot ``<code>password</code>''. Ceux qui travaillent avec un
1553 chiffrement basé sur MD5 (par exemple sous FreeBSD ou BSD/OS,
1554 etc...) doivent utiliser le condensé MD5 suivant pour le même mot :
1555 ``<code>$1$OXLyS...$Owx8s2/m9/gfkcRVXzgoE/</code>''.</p>
1557 <p>Notez que la directive <code class="directive"><a href="../mod/mod_auth_basic.html#authbasicfake">AuthBasicFake</a></code> du module
1558 <code class="module"><a href="../mod/mod_auth_basic.html">mod_auth_basic</a></code> permet de contrôler à la
1559 fois le nom d'utilisateur et le mot de passe ; elle fournit donc un
1560 mécanisme plus général de simulation d'authentification de base.</p>
1562 <div class="warning">
1563 <p>Les noms d'utilisateur pour <code>FakeBasicAuth</code> ne doivent pas
1564 contenir de caractères non-ASCII, de caractères d'échappement ASCII (comme
1565 newline), ou de caractère ':'. A partir de la version 2.5.1 de httpd, si
1566 un caractère ':' est rencontré, une erreur 403 Forbidden sera générée.</p>
1569 <li><code>StrictRequire</code>
1571 Cette option <em>force</em> l'interdiction d'accès lorsque
1572 <code>SSLRequireSSL</code> ou <code>SSLRequire</code> a décidé que
1573 l'accès devait être interdit. Par défaut, dans le cas où
1574 une directive ``<code>Satisfy any</code>'' est utilisée, et si
1575 d'autres restrictions d'accès ont été franchies, on passe en général
1576 outre l'interdiction d'accès due à <code>SSLRequireSSL</code> ou
1577 <code>SSLRequire</code> (parce que c'est ainsi que le mécanisme
1578 <code>Satisfy</code> d'Apache doit fonctionner). Pour des
1579 restrictions d'accès plus strictes, vous pouvez cependant utiliser
1580 <code>SSLRequireSSL</code> et/ou <code>SSLRequire</code> en
1581 combinaison avec une option ``<code>SSLOptions
1582 +StrictRequire</code>''. Une directive ``<code>Satisfy Any</code>''
1583 n'a alors aucune chance d'autoriser l'accès si mod_ssl a décidé de
1586 <li><code>OptRenegotiate</code>
1588 Cette option active la gestion optimisée de la renégociation des
1589 connexions SSL intervenant lorsque les directives SSL sont utilisées
1590 dans un contexte de répertoire. Par défaut un schéma strict est
1591 appliqué, et <em>chaque</em> reconfiguration des paramètres SSL au
1592 niveau du répertoire implique une phase de renégociation SSL
1593 <em>complète</em>. Avec cette option, mod_ssl essaie d'éviter les
1594 échanges non nécessaires en effectuant des vérifications de
1595 paramètres plus granulaires (mais tout de même efficaces).
1596 Néanmoins, ces vérifications granulaires peuvent ne pas correspondre
1597 à ce qu'attend l'utilisateur, et il est donc recommandé de n'activer
1598 cette option que dans un contexte de répertoire.</p>
1600 <li><code>LegacyDNStringFormat</code>
1602 Cette option permet d'agir sur la manière dont les valeurs des
1603 variables <code>SSL_{CLIENT,SERVER}_{I,S}_DN</code> sont formatées.
1604 Depuis la version 2.3.11, Apache HTTPD utilise par défaut un format
1605 compatible avec la RFC 2253. Ce format utilise des virgules comme
1606 délimiteurs entre les attributs, permet l'utilisation de caractères
1607 non-ASCII (qui sont alors convertis en UTF8), échappe certains
1608 caractères spéciaux avec des slashes inversés, et trie les attributs
1609 en plaçant l'attribut "C" en dernière position.</p>
1611 <p>Si l'option <code>LegacyDNStringFormat</code> est présente, c'est
1612 l'ancien format qui sera utilisé : les attributs sont triés avec
1613 l'attribut "C" en première position, les séparateurs sont des
1614 slashes non inversés, les caractères non-ASCII ne sont pas supportés
1615 et le support des caractères spéciaux n'est pas fiable.
1619 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLOptions +FakeBasicAuth -StrictRequire
1620 <Files ~ "\.(cgi|shtml)$">
1621 SSLOptions +StdEnvVars -ExportCertData
1622 </Files></pre>
1626 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1627 <div class="directive-section"><h2><a name="sslpassphrasedialog" id="sslpassphrasedialog">Directive</a> <a name="SSLPassPhraseDialog" id="SSLPassPhraseDialog">SSLPassPhraseDialog</a> <a title="Lien permanent" href="#sslpassphrasedialog" class="permalink">¶</a></h2>
1628 <table class="directive">
1629 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Méthode utilisée pour entrer le mot de passe pour les clés
1630 privées chiffrées</td></tr>
1631 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLPassPhraseDialog <em>type</em></code></td></tr>
1632 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLPassPhraseDialog builtin</code></td></tr>
1633 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale</td></tr>
1634 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1635 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1638 Lors de son démarrage, Apache doit lire les différents fichiers de
1639 certificats (voir la directive <code class="directive"><a href="#sslcertificatefile">SSLCertificateFile</a></code>) et de clés privées
1640 (voir la directive <code class="directive"><a href="#sslcertificatekeyfile">SSLCertificateKeyFile</a></code>) des serveurs
1641 virtuels où SSL est activé. Comme, pour des raisons de sécurité, les
1642 fichiers de clés privées sont en général chiffrés, mod_ssl doit
1643 demander à l'administrateur un mot de passe pour déchiffrer ces
1644 fichiers. L'argument <em>type</em> permet de choisir la manière dont
1645 cette demande peut être formulée parmi les trois suivantes :</p>
1647 <li><code>builtin</code>
1649 C'est la méthode par défaut, et un dialogue interactive de terminal
1650 s'ouvre au cours du démarrage juste avant qu'Apache ne se détache du
1651 terminal. A ce moment, l'administrateur doit entrer manuellement un
1652 mot de passe pour chaque fichier de clé privée chiffré. Etant donné
1653 qu'il peut y avoir un grand nombre de serveurs virtuels configurés
1654 avec SSL activé, le protocole de réutilisation suivant est utilisé
1655 pour minimiser le dialogue : lorsqu'un fichier de clé privée est
1656 chiffré, tous les mots de passe connus (au début, il n'y en a aucun,
1657 bien entendu) sont essayés. Si l'un de ces mots de passe connus
1658 convient, aucun dialogue ne s'ouvrira pour ce fichier de
1659 clé privée particulier. Si aucun ne convient, un autre mot de passe
1660 sera demandé à partir du terminal et sera mis en mémoire pour le
1661 fichier de clé privée suivant (pour lequel il pourra éventuellement
1662 être réutilisé).</p>
1664 Cette méthode confère à mod_ssl une grande souplesse (car pour N
1665 fichiers de clé privée chiffrés, vous <em>pouvez</em> utiliser N
1666 mots de passe différents - mais vous devrez alors tous les fournir,
1667 bien entendu), tout en minimisant le dialogue de terminal (vous
1668 pouvez en effet utiliser un seul mot de passe pour les N fichiers de
1669 clé privée et vous n'aurez alors à l'entrer qu'une seule
1672 <li><code>|/chemin/vers/programme [arguments...]</code>
1674 <p>Ce mode permet d'utiliser un programme externe qui va se présenter
1675 comme une redirection vers un périphérique d'entrée particulier ; le
1676 texte de prompt standard utilisé pour le mode <code>builtin</code>
1677 est envoyé au programme sur <code>stdin</code>, et celui-ci doit
1678 renvoyer des mots de passe sur <code>stdout</code>. Si
1679 plusieurs mots de passe sont requis (ou si un mot de passe incorrect
1680 a été entré), un texte de prompt supplémentaire sera écrit après le
1681 retour du premier mot de passe, et d'autres mots de passe devront
1682 alors être réécrits.</p></li>
1684 <li><code>exec:/chemin/vers/programme</code>
1686 Ici, un programme externe est appelé au démarrage du serveur pour
1687 chaque fichier de clé privée chiffré. Il est
1689 argument, une chaîne de la forme
1690 "<code>servername:portnumber:index</code>" (index étant un numéro
1691 d'ordre débutant 0), qui indique pour quels serveur, port TCP et
1692 numéro de certificat il doit écrire le mot de
1693 passe correspondant sur <code>stdout</code>. Le but recherché est
1694 l'exécution de vérifications de sécurité préalables permettant de
1695 s'assurer que le système n'est pas victime d'une attaque, et de ne
1696 fournir le mot de passe que si toutes les vérifications ont été
1697 effectuées avec succès.</p>
1699 Ces vérifications de sécurité, ainsi que la manière dont le mot de
1700 passe est déterminé peuvent être aussi sophistiqués que vous le
1701 désirez. Mod_ssl ne définit que l'interface : un programme
1702 exécutable qui écrit le mot de passe sur <code>stdout</code>. Ni
1703 plus, ni moins ! Ainsi, si vous êtes vraiment paranoïaque en matière
1704 de sécurité, voici votre interface. Tout le reste doit être confié à
1705 l'administrateur à titre d'exercice, car les besoins en sécurité
1706 locale sont très différents.</p>
1708 L'algorithme de réutilisation est utilisé ici aussi. En d'autres
1709 termes, le programme externe n'est appelé qu'une fois par mot de
1710 passe unique.</p></li>
1712 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLPassPhraseDialog "exec:/usr/local/apache/sbin/pp-filter"</pre>
1716 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1717 <div class="directive-section"><h2><a name="sslpolicy" id="sslpolicy">Directive</a> <a name="SSLPolicy" id="SSLPolicy">SSLPolicy</a> <a title="Lien permanent" href="#sslpolicy" class="permalink">¶</a></h2>
1718 <table class="directive">
1719 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Applique une politique SSL en la référençant par son nom</td></tr>
1720 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLPolicy <em>name</em></code></td></tr>
1721 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1722 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1723 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1724 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.5.0 du serveur HTTP Apache</td></tr>
1726 <p>Cette directive permet d'appliquer le jeu de directives définies au sein
1727 de la polique SSL de nom 'name' comme configuration <em>de base</em> dans
1728 le contexte courant. Apache httpd est fourni avec les politiques SSL prédéfinies
1729 suivantes de Mozilla, l'éditeur du navigateur Firefox (<a href="https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations">description
1733 <li><code>modern</code>: recommandé lorsque votre serveur est accessible
1734 depuis internet, fonctionne avec tous les navigateurs modernes, mais les
1735 anciens navigateurs peuvent avoir des difficultés pour se connecter.</li>
1736 <li><code>intermediate</code>: version dégradée si vous devez supporter les
1737 vieux clients (mais pas trop vieux).</li>
1738 <li><code>old</code>: lorsque vous voulez donner accès à IE6 sous Windows XP
1739 (ultime recours).</li>
1742 <p>La directive SSLPolicy s'applique à l'endroit où elle est définie, ce qui
1743 signifie que des valeurs définies évntuellement au préalable sont écrasées, et
1744 bien entendu que cette même directive peut être écrasée par d'éventuelles
1745 directives définies plus loin dans le fichier de configuration.</p>
1747 <p>Vous pouvez obtenir une description détaillée de toutes les politiques
1748 prédéfinies via la commande :</p>
1749 <div class="example"><h3>Liste de toutes les politiques SSL prédéfinies</h3><pre class="prettyprint lang-sh">httpd -t -D DUMP_SSL_POLICIES</pre>
1754 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1755 <div class="directive-section"><h2><a name="sslprotocol" id="sslprotocol">Directive</a> <a name="SSLProtocol" id="SSLProtocol">SSLProtocol</a> <a title="Lien permanent" href="#sslprotocol" class="permalink">¶</a></h2>
1756 <table class="directive">
1757 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Indique les versions du protocole SSL/TLS
1758 disponibles</td></tr>
1759 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProtocol [+|-]<em>protocole</em> ...</code></td></tr>
1760 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProtocol all -SSLv3</code></td></tr>
1761 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
1762 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1763 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1766 Cette directive permet de définir quelles versions du protocole SSL/TLS
1767 seront acceptées lors de l'initialisation d'une nouvelle connexion.</p>
1769 Les <em>protocole</em>s disponibles sont les suivants (sensibles à la
1772 <li><code>SSLv3</code>
1774 Il s'agit du protocole Secure Sockets Layer (SSL) version 3.0 de
1775 Netscape Corporation. C'est le successeur de SSLv2 et le
1776 prédécesseur de TLSv1, mais est considéré comme
1777 obsolète dans la <a href="http://www.ietf.org/rfc/rfc7568.txt">RFC
1780 <li><code>TLSv1</code>
1782 Il s'agit du protocole Transport Layer Security (TLS) version 1.0.
1783 C'est le successeur de SSLv3, et il est défini dans la <a href="http://www.ietf.org/rfc/rfc2246.txt">RFC2246</a>.</p></li>
1785 <li><code>TLSv1.1</code> (à partir de la version 1.0.1 d'OpenSSL)
1787 Une révision du protocole TLS 1.0 définie dans la <a href="http://www.ietf.org/rfc/rfc4346.txt">RFC 4346</a>. Il est
1788 supporté par la plupart des clients.</p></li>
1790 <li><code>TLSv1.2</code> (à partir de la version 1.0.1 d'OpenSSL)
1792 Une révision du protocole TLS 1.1 définie dans la <a href="http://www.ietf.org/rfc/rfc5246.txt">RFC 5246</a>.</p></li>
1794 <li><code>TLSv1.3</code> (avec OpenSSL version 1.1.1 et supérieures)
1796 Une nouvelle version du protocole TLS définie dans la <a href="http://www.ietf.org/rfc/rfc8446.txt">RFC 8446</a>.</p></li>
1798 <li><code>all</code>
1800 C'est un raccourci pour ``<code>+SSLv3 +TLSv1</code>'' ou - à partir
1801 de la version 1.0.1 d'OpenSSL - ``<code>+SSLv3 +TLSv1 +TLSv1.1
1802 +TLSv1.2</code>'' (sauf si OpenSSL a été compilé avec l'option
1803 ``no-ssl3'', auquel cas <code>all</code> n'inclura pas
1804 <code>+SSLv3</code>).</p></li>
1806 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProtocol TLSv1</pre>
1810 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1811 <div class="directive-section"><h2><a name="sslproxycacertificatefile" id="sslproxycacertificatefile">Directive</a> <a name="SSLProxyCACertificateFile" id="SSLProxyCACertificateFile">SSLProxyCACertificateFile</a> <a title="Lien permanent" href="#sslproxycacertificatefile" class="permalink">¶</a></h2>
1812 <table class="directive">
1813 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la concaténation des certificats de CA
1814 codés en PEM pour l'authentification des serveurs distants</td></tr>
1815 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCACertificateFile <var>file-path</var></code></td></tr>
1816 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
1817 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1818 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1819 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
1820 version 2.4.30 du serveur HTTP Apache</td></tr>
1823 Cette directive permet de définir le fichier <em>tout-en-un</em> où sont
1824 stockés les certificats des Autorités de Certification (CA) pour les
1825 <em>serveurs distants</em> auxquels vous avez à faire. On les utilise
1826 lors de l'authentification du serveur distant. Un tel fichier contient
1827 la simple concaténation des différents fichiers de certificats codés en
1828 PEM, classés par ordre de préférence. On peut utiliser cette directive à
1829 la place et/ou en complément de la directive <code class="directive"><a href="#sslproxycacertificatepath">SSLProxyCACertificatePath</a></code>.</p>
1830 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCACertificateFile
1831 "/usr/local/apache2/conf/ssl.crt/ca-bundle-serveur.distant.crt"</pre>
1835 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1836 <div class="directive-section"><h2><a name="sslproxycacertificatepath" id="sslproxycacertificatepath">Directive</a> <a name="SSLProxyCACertificatePath" id="SSLProxyCACertificatePath">SSLProxyCACertificatePath</a> <a title="Lien permanent" href="#sslproxycacertificatepath" class="permalink">¶</a></h2>
1837 <table class="directive">
1838 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Répertoire des certificats de CA codés en PEM pour
1839 l'authentification des serveurs distants</td></tr>
1840 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCACertificatePath <em>chemin-répertoire</em></code></td></tr>
1841 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
1842 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1843 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1844 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
1845 version 2.4.30 du serveur HTTP Apache</td></tr>
1848 Cette directive permet de spécifier le répertoire où sont stockés les
1849 certificats des Autorités de Certification (CAs) pour les serveurs
1850 distants auxquels vous avez à faire. On les utilise pour vérifier le
1851 certificat du serveur distant lors de l'authentification de ce
1854 Les fichiers de ce répertoire doivent être codés en PEM et ils sont
1855 accédés via des noms de fichier sous forme de condensés ou hash. Il ne
1856 suffit donc pas de placer les fichiers de certificats dans ce répertoire
1857 : vous devez aussi créer des liens symboliques nommés
1858 <em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous
1859 assurer que ce répertoire contient les liens symboliques appropriés.</p>
1860 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCACertificatePath "/usr/local/apache2/conf/ssl.crt/"</pre>
1864 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1865 <div class="directive-section"><h2><a name="sslproxycarevocationcheck" id="sslproxycarevocationcheck">Directive</a> <a name="SSLProxyCARevocationCheck" id="SSLProxyCARevocationCheck">SSLProxyCARevocationCheck</a> <a title="Lien permanent" href="#sslproxycarevocationcheck" class="permalink">¶</a></h2>
1866 <table class="directive">
1867 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active la vérification des révocations basée sur les CRLs
1868 pour l'authentification du serveur distant</td></tr>
1869 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCARevocationCheck chain|leaf|none</code></td></tr>
1870 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyCARevocationCheck none</code></td></tr>
1871 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
1872 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1873 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1874 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
1875 version 2.4.30 du serveur HTTP Apache</td></tr>
1878 Active la vérification des révocations basée sur les Listes de
1879 révocations de Certificats (CRL) pour les <em>serveurs distants</em>
1880 auxquels vous vous connectez. A moins une des directives <code class="directive"><a href="#sslproxycarevocationfile">SSLProxyCARevocationFile</a></code> ou <code class="directive"><a href="#sslproxycarevocationpath">SSLProxyCARevocationPath</a></code> doit être définie.
1881 Lorsque cette directive est définie à <code>chain</code> (valeur
1882 recommandée), les vérifications CRL sont effectuées sur tous les
1883 certificats de la chaîne, alors que la valeur <code>leaf</code> limite
1884 la vérification au certificat hors chaîne (la feuille).
1887 <h3>Lorsque la directive est définie à <code>chain</code> ou
1888 <code>leaf</code>, les CRLs doivent être disponibles pour que la
1889 validation réussisse</h3>
1891 Avant la version 2.3.15, les vérifications CRL dans mod_ssl
1892 réussissaient même si aucune CRL n'était trouvée dans les chemins
1893 définis par les directives <code class="directive"><a href="#sslproxycarevocationfile">SSLProxyCARevocationFile</a></code> ou <code class="directive"><a href="#sslproxycarevocationpath">SSLProxyCARevocationPath</a></code>. Le comportement a
1894 changé avec l'introduction de cette directive : lorsque la vérification
1895 est activée, les CRLs <em>doivent</em> être présentes pour que la
1896 validation réussisse ; dans le cas contraire, elle échouera avec une
1897 erreur <code>"CRL introuvable"</code>.
1900 <div class="example"><h3>Exmple</h3><pre class="prettyprint lang-config">SSLProxyCARevocationCheck chain</pre>
1904 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1905 <div class="directive-section"><h2><a name="sslproxycarevocationfile" id="sslproxycarevocationfile">Directive</a> <a name="SSLProxyCARevocationFile" id="SSLProxyCARevocationFile">SSLProxyCARevocationFile</a> <a title="Lien permanent" href="#sslproxycarevocationfile" class="permalink">¶</a></h2>
1906 <table class="directive">
1907 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la concaténation des CRLs de CA codés en
1908 PEM pour l'authentification des serveurs distants</td></tr>
1909 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCARevocationFile <var>file-path</var></code></td></tr>
1910 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
1911 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1912 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1913 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
1914 version 2.4.30 du serveur HTTP Apache</td></tr>
1917 Cette directive permet de définir le fichier <em>tout-en-un</em> où sont
1918 rassemblées les Listes de Révocation de Certificats (CRLs) des Autorités
1919 de certification (CAs) pour les <em>serveurs distants</em> auxquels vous
1920 avez à faire. On les utilise pour l'authentification des serveurs
1921 distants. Un tel fichier contient la simple concaténation des différents
1922 fichiers de CRLs codés en PEM, classés par ordre de préférence. Cette
1923 directive peut être utilisée à la place et/ou en complément de la
1924 directive <code class="directive"><a href="#sslproxycarevocationpath">SSLProxyCARevocationPath</a></code>.</p>
1925 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCARevocationFile
1926 "/usr/local/apache2/conf/ssl.crl/ca-bundle-serveur.distant.crl"</pre>
1930 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1931 <div class="directive-section"><h2><a name="sslproxycarevocationpath" id="sslproxycarevocationpath">Directive</a> <a name="SSLProxyCARevocationPath" id="SSLProxyCARevocationPath">SSLProxyCARevocationPath</a> <a title="Lien permanent" href="#sslproxycarevocationpath" class="permalink">¶</a></h2>
1932 <table class="directive">
1933 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Répertoire des CRLs de CA codés en PEM pour
1934 l'authentification des serveurs distants</td></tr>
1935 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCARevocationPath <em>chemin-répertoire</em></code></td></tr>
1936 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
1937 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1938 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1939 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
1940 version 2.4.30 du serveur HTTP Apache</td></tr>
1943 Cette directive permet de définir le répertoire où sont stockées les
1944 Listes de Révocation de Certificats (CRL) des Autorités de Certification
1945 (CAs) pour les serveurs distants auxquels vous avez à faire. On les
1946 utilise pour révoquer les certificats des serveurs distants au cours de
1947 l'authentification de ces derniers.</p>
1949 Les fichiers de ce répertoire doivent être codés en PEM et ils sont
1950 accédés via des noms de fichier sous forme de condensés ou hash. Il ne
1951 suffit donc pas de placer les fichiers de CRL dans ce répertoire
1952 : vous devez aussi créer des liens symboliques nommés
1953 <em>valeur-de-hashage</em><code>.rN</code>, et vous devez toujours vous
1954 assurer que ce répertoire contient les liens symboliques appropriés.</p>
1955 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCARevocationPath "/usr/local/apache2/conf/ssl.crl/"</pre>
1959 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
1960 <div class="directive-section"><h2><a name="sslproxycheckpeercn" id="sslproxycheckpeercn">Directive</a> <a name="SSLProxyCheckPeerCN" id="SSLProxyCheckPeerCN">SSLProxyCheckPeerCN</a> <a title="Lien permanent" href="#sslproxycheckpeercn" class="permalink">¶</a></h2>
1961 <table class="directive">
1962 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configuration de la vérification du champ CN du certificat
1965 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCheckPeerCN on|off</code></td></tr>
1966 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyCheckPeerCN on</code></td></tr>
1967 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
1968 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
1969 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
1970 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
1971 version 2.4.30 du serveur HTTP Apache</td></tr>
1974 Cette directive permet de définir si le champ CN du certificat
1975 du serveur distant doit être comparé au nom de serveur de l'URL de la
1976 requête. S'ils ne correspondent pas, un
1977 code d'état 502 (Bad Gateway) est envoyé. A partir de la version 2.4.5, la
1978 directive <code class="directive"><a href="#sslproxycheckpeername">SSLProxyCheckPeerName</a></code>
1979 l'emporte sur la directive <code>SSLProxyCheckPeerCN</code>.
1982 De la version 2.4.5 à la version 2.4.20, spécifier <code>SSLProxyCheckPeerName
1983 off</code> était suffisant pour activer cette fonctionnalité (étant donné que la
1984 valeur par défaut de la directive <code>SSLProxyCheckPeerCN</code> était
1985 <code>on</code>). Avec ces mêmes versions, les deux directives devaient être
1986 définies à <code>off</code> pour éviter la validation du nom de certificat du
1987 serveur distant. De nombreux utilisateurs ont signalé ce comportement comme
1988 étant source de confusion.
1991 A partir de la version 2.4.21, toute configuration qui active une des
1992 deux options <code>SSLProxyCheckPeerName</code> ou
1993 <code>SSLProxyCheckPeerCN</code> adopte le nouveau comportement de la
1994 directive <code class="directive"><a href="#sslproxycheckpeername">SSLProxyCheckPeerName</a></code>, alors
1995 que toute configuration qui désactive une des options
1996 <code>SSLProxyCheckPeerName</code> ou <code>SSLProxyCheckPeerCN</code> supprime
1997 toute validation du nom de certificat du serveur distant. Seule la configuration
1998 suivante peut rétablir le comportement traditionnel en matière de comparaison
1999 des CN de certificats dans les versions 2.4.21 et ultérieures.
2001 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCheckPeerCN on
2002 SSLProxyCheckPeerName off</pre>
2006 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2007 <div class="directive-section"><h2><a name="sslproxycheckpeerexpire" id="sslproxycheckpeerexpire">Directive</a> <a name="SSLProxyCheckPeerExpire" id="SSLProxyCheckPeerExpire">SSLProxyCheckPeerExpire</a> <a title="Lien permanent" href="#sslproxycheckpeerexpire" class="permalink">¶</a></h2>
2008 <table class="directive">
2009 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configuration de la vérification de l'expiration du
2010 certificat du serveur distant
2012 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCheckPeerExpire on|off</code></td></tr>
2013 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyCheckPeerExpire on</code></td></tr>
2014 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
2015 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2016 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2017 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
2018 version 2.4.30 du serveur HTTP Apache</td></tr>
2021 Cette directive permet de définir si l'expiration du certificat du
2022 serveur distant doit être vérifiée ou non. Si la vérification échoue, un
2023 code d'état 502 (Bad Gateway) est envoyé.
2025 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCheckPeerExpire on</pre>
2029 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2030 <div class="directive-section"><h2><a name="sslproxycheckpeername" id="sslproxycheckpeername">Directive</a> <a name="SSLProxyCheckPeerName" id="SSLProxyCheckPeerName">SSLProxyCheckPeerName</a> <a title="Lien permanent" href="#sslproxycheckpeername" class="permalink">¶</a></h2>
2031 <table class="directive">
2032 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configure la vérification du nom d'hôte pour les
2033 certificats serveur distant
2035 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCheckPeerName on|off</code></td></tr>
2036 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyCheckPeerName on</code></td></tr>
2037 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
2038 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2039 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2040 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.4.5 du serveur HTTP
2042 Le contexte d'une section proxy est supporté à partir de la
2043 version 2.4.30 du serveur HTTP Apache</td></tr>
2046 Cette directive permet de configurer la vérification du nom d'hôte pour
2047 les certificats serveur lorsque mod_ssl agit en tant que client SSL. La
2048 vérification réussit si le nom d'hôte de l'URI de la requête correspond à un
2049 des attributs CN du sujet du certificat, ou à l'extension subjectAltName. Si la
2050 vérification échoue, la requête SSL
2051 avorte, et un code d'erreur 502 (Bad Gateway) est renvoyé.
2054 Les caractères génériques sont supportés dans certains cas bien spécifiques :
2055 une entrée subjectAltName de type dNSName ou les attributs CN
2056 commençant par <code>*.</code> correspondront à tout nom d'hôte comportant
2057 le même nombre de champs et le même suffixe ; par exemple,
2058 <code>*.example.org</code> correspondra à <code>foo.example.org</code>,
2059 mais pas à <code>foo.bar.example.org</code> car le nombre d'éléments dans les
2063 Cette fonctionnalité a été introduite avec la version 2.4.5 et l'emporte sur la
2064 directive <code class="directive"><a href="#sslproxycheckpeercn">SSLProxyCheckPeerCN</a></code> qui ne
2065 comparait que la valeur exacte du premier attribut CN avec le nom d'hôte.
2066 Cependant, de nombreux utilisateurs étaient déconcertés par le comportement
2067 induit par l'utilisation de ces deux directives individuellement, si bien que ce
2068 comportement a été amélioré avec la version 2.4.21. Voir la description de la
2069 directive <code class="directive"><a href="#sslproxycheckpeercn">SSLProxyCheckPeerCN</a></code> pour le
2070 comportement original et des détails à propos de ces améliorations.
2074 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2075 <div class="directive-section"><h2><a name="sslproxyciphersuite" id="sslproxyciphersuite">Directive</a> <a name="SSLProxyCipherSuite" id="SSLProxyCipherSuite">SSLProxyCipherSuite</a> <a title="Lien permanent" href="#sslproxyciphersuite" class="permalink">¶</a></h2>
2076 <table class="directive">
2077 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Algorithmes de chiffrement disponibles pour la négociation
2078 lors de l'initialisation d'une connexion SSL de mandataire</td></tr>
2079 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCipherSuite [<em>protocol</em>] <em>cipher-spec</em></code></td></tr>
2080 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP</code></td></tr>
2081 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
2082 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2083 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2084 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
2085 version 2.4.30 du serveur HTTP Apache</td></tr>
2087 <p>Cette directive est équivalente à la directive <code class="directive"><a href="#sslciphersuite">SSLCipherSuite</a></code>, mais s'applique à une connexion de
2088 mandataire. Veuillez vous reporter à la directive <code class="directive"><a href="#sslciphersuite">SSLCipherSuite</a></code> pour plus d'informations.</p>
2091 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2092 <div class="directive-section"><h2><a name="sslproxyengine" id="sslproxyengine">Directive</a> <a name="SSLProxyEngine" id="SSLProxyEngine">SSLProxyEngine</a> <a title="Lien permanent" href="#sslproxyengine" class="permalink">¶</a></h2>
2093 <table class="directive">
2094 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Interrupteur marche/arrêt du moteur de mandataire
2096 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyEngine on|off</code></td></tr>
2097 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyEngine off</code></td></tr>
2098 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
2099 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2100 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2101 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
2102 version 2.4.30 du serveur HTTP Apache</td></tr>
2105 Cette directive permet d'activer/désactiver l'utilisation du moteur de
2106 protocole SSL/TLS pour le mandataire. On l'utilise en général à
2107 l'intérieur d'une section <code class="directive"><a href="../mod/core.html#virtualhost"><VirtualHost></a></code> pour activer le protocole SSL/TLS
2108 dans le cadre d'un mandataire pour un serveur virtuel particulier. Par
2109 défaut, le moteur de protocole SSL/TLS est désactivé pour la fonction de
2110 mandataire du serveur principal et de tous les serveurs virtuels
2113 <p>Notez que la directive <code class="directive">SSLProxyEngine</code> ne doit
2114 généralement pas être utilisée dans le cadre d'un serveur virtuel qui agit en
2115 tant que mandataire direct (via les directives <code class="directive"><a href="../mod/mod_proxy.html#proxy"><Proxy></a></code> ou <code class="directive"><a href="../mod/mod_proxy.html#proxyrequests">ProxyRequests</a></code>).
2116 <code class="directive">SSLProxyEngine</code> n'est pas nécessaire pour activer un
2117 serveur mandataire direct pour les requêtes SSL/TLS.</p>
2119 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config"><VirtualHost _default_:443>
2122 </VirtualHost></pre>
2126 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2127 <div class="directive-section"><h2><a name="sslproxymachinecertificatechainfile" id="sslproxymachinecertificatechainfile">Directive</a> <a name="SSLProxyMachineCertificateChainFile" id="SSLProxyMachineCertificateChainFile">SSLProxyMachineCertificateChainFile</a> <a title="Lien permanent" href="#sslproxymachinecertificatechainfile" class="permalink">¶</a></h2>
2128 <table class="directive">
2129 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier de certificats de CA encodés PEM concaténés permettant au
2130 mandataire de choisir un certificat</td></tr>
2131 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyMachineCertificateChainFile <em>nom-fichier</em></code></td></tr>
2132 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
2133 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2134 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2135 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
2136 version 2.4.30 du serveur HTTP Apache</td></tr>
2139 Cette directive permet de définir le fichier global où est enregistrée
2140 la chaîne de certification pour tous les certificats clients utilisés.
2141 Elle est nécessaire si le serveur distant présente une liste de
2142 certificats de CA qui ne sont pas les signataires directs d'un des
2143 certificats clients configurés.
2146 Ce fichier contient tout simplement la concaténation des différents
2147 fichiers de certificats encodés PEM. Au démarrage, chaque certificat
2148 client configuré est examiné et une chaîne de certification est
2151 <div class="warning"><h3>Avertissement en matière de sécurité</h3>
2152 <p>Si cette directive est définie, tous les certificats contenus dans le
2153 fichier spécifié seront considérés comme étant de confiance, comme s'ils
2154 étaient aussi désignés dans la directive <code class="directive"><a href="#sslproxycacertificatefile">SSLProxyCACertificateFile</a></code>.</p>
2156 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyMachineCertificateChainFile
2157 "/usr/local/apache2/conf/ssl.crt/proxyCA.pem"</pre>
2161 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2162 <div class="directive-section"><h2><a name="sslproxymachinecertificatefile" id="sslproxymachinecertificatefile">Directive</a> <a name="SSLProxyMachineCertificateFile" id="SSLProxyMachineCertificateFile">SSLProxyMachineCertificateFile</a> <a title="Lien permanent" href="#sslproxymachinecertificatefile" class="permalink">¶</a></h2>
2163 <table class="directive">
2164 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la concaténation des clés et certificats
2165 clients codés en PEM que le mandataire doit utiliser</td></tr>
2166 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyMachineCertificateFile <em>file-path</em></code></td></tr>
2167 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
2168 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2169 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2170 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
2171 version 2.4.30 du serveur HTTP Apache</td></tr>
2174 Cette directive permet de définir le fichier tout-en-un où sont stockés
2175 les clés et certificats permettant au serveur mandataire de
2176 s'authentifier auprès des serveurs distants.
2179 Le fichier spécifié est la simple concaténation des différents fichiers
2180 de certificats codés en PEM, classés par ordre de préférence. Cette
2181 directive s'utilise à la place ou en complément de la directive
2182 <code>SSLProxyMachineCertificatePath</code>.
2184 <div class="warning">
2185 <p>Actuellement, les clés privées chiffrées ne sont pas supportées.</p>
2187 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyMachineCertificateFile "/usr/local/apache2/conf/ssl.crt/proxy.pem"</pre>
2191 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2192 <div class="directive-section"><h2><a name="sslproxymachinecertificatepath" id="sslproxymachinecertificatepath">Directive</a> <a name="SSLProxyMachineCertificatePath" id="SSLProxyMachineCertificatePath">SSLProxyMachineCertificatePath</a> <a title="Lien permanent" href="#sslproxymachinecertificatepath" class="permalink">¶</a></h2>
2193 <table class="directive">
2194 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Répertoire des clés et certificats clients codés en PEM que
2195 le mandataire doit utiliser</td></tr>
2196 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyMachineCertificatePath <em>chemin-répertoire</em></code></td></tr>
2197 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
2198 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2199 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2200 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
2201 version 2.4.30 du serveur HTTP Apache</td></tr>
2204 Cette directive permet de définir le répertoire où sont stockés les clés
2205 et certificats permettant au serveur mandataire de s'authentifier auprès
2206 des serveurs distants.
2208 <p>mod_ssl va essayer de charger tous les fichiers contenus dans le répertoire
2209 spécifié, mais en ignorera les éventuels sous-répertoires. Chaque fichier doit
2210 contenir un certificat codé au format PEM ainsi que la clé privée
2212 <div class="warning">
2213 <p>Actuellement, les clés privées chiffrées ne sont pas supportées.</p>
2215 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyMachineCertificatePath "/usr/local/apache2/conf/proxy.crt/"</pre>
2219 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2220 <div class="directive-section"><h2><a name="sslproxyprotocol" id="sslproxyprotocol">Directive</a> <a name="SSLProxyProtocol" id="SSLProxyProtocol">SSLProxyProtocol</a> <a title="Lien permanent" href="#sslproxyprotocol" class="permalink">¶</a></h2>
2221 <table class="directive">
2222 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit les protocoles SSL disponibles pour la fonction de
2223 mandataire</td></tr>
2224 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyProtocol [+|-]<em>protocole</em> ...</code></td></tr>
2225 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyProtocol all -SSLv3</code></td></tr>
2226 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
2227 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2228 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2229 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
2230 version 2.4.30 du serveur HTTP Apache</td></tr>
2234 Cette directive permet de définir les protocoles SSL que mod_ssl peut
2235 utiliser lors de l'élaboration de son environnement de serveur pour la
2236 fonction de mandataire. Il ne se connectera qu'aux serveurs utilisant un
2237 des protocoles spécifiés.</p>
2238 <p>Veuillez vous reporter à la directive <code class="directive"><a href="#sslprotocol">SSLProtocol</a></code> pour plus d'informations.
2242 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2243 <div class="directive-section"><h2><a name="sslproxyverify" id="sslproxyverify">Directive</a> <a name="SSLProxyVerify" id="SSLProxyVerify">SSLProxyVerify</a> <a title="Lien permanent" href="#sslproxyverify" class="permalink">¶</a></h2>
2244 <table class="directive">
2245 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Niveau de vérification du certificat du serveur
2247 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyVerify <em>niveau</em></code></td></tr>
2248 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyVerify none</code></td></tr>
2249 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
2250 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2251 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2252 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
2253 version 2.4.30 du serveur HTTP Apache</td></tr>
2256 <p>Lorsqu'un mandataire est configuré pour faire suivre les requêtes
2257 vers un serveur SSL distant, cette directive permet de configurer la
2258 vérification du certificat de ce serveur distant.</p>
2261 Les valeurs de <em>niveau</em>x disponibles sont les suivantes :</p>
2263 <li><strong>none</strong>:
2264 aucun certificat n'est requis pour le serveur distant</li>
2265 <li><strong>optional</strong>:
2266 le serveur distant <em>peut</em> présenter un certificat valide</li>
2267 <li><strong>require</strong>:
2268 le serveur distant <em>doit</em> présenter un certificat valide</li>
2269 <li><strong>optional_no_ca</strong>:
2270 le serveur distant peut présenter un certificat valide<br />
2271 mais il n'est pas nécessaire qu'il soit vérifiable (avec succès).</li>
2273 <p>En pratique, seuls les niveaux <strong>none</strong> et
2274 <strong>require</strong> sont vraiment intéressants, car le niveau
2275 <strong>optional</strong> ne fonctionne pas avec tous les serveurs, et
2276 le niveau <strong>optional_no_ca</strong> va tout à fait à l'encontre de
2277 l'idée que l'on peut se faire de l'authentification (mais peut tout de
2278 même être utilisé pour établir des pages de test SSL, etc...)
2280 In practice only levels <strong>none</strong> and
2281 <strong>require</strong> are really interesting, because level
2282 <strong>optional</strong> doesn't work with all servers and level
2283 <strong>optional_no_ca</strong> is actually against the idea of
2284 authentication (but can be used to establish SSL test pages, etc.)</p>
2285 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyVerify require</pre>
2289 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2290 <div class="directive-section"><h2><a name="sslproxyverifydepth" id="sslproxyverifydepth">Directive</a> <a name="SSLProxyVerifyDepth" id="SSLProxyVerifyDepth">SSLProxyVerifyDepth</a> <a title="Lien permanent" href="#sslproxyverifydepth" class="permalink">¶</a></h2>
2291 <table class="directive">
2292 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Niveau de profondeur maximum dans les certificats de CA
2293 lors de la vérification du certificat du serveur distant</td></tr>
2294 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyVerifyDepth <em>niveau</em></code></td></tr>
2295 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyVerifyDepth 1</code></td></tr>
2296 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, </td></tr>
2297 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2298 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2299 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le contexte d'une section proxy est supporté à partir de la
2300 version 2.4.30 du serveur HTTP Apache</td></tr>
2303 Cette directive permet de définir le niveau de profondeur maximum
2304 jusqu'auquel mod_ssl doit aller au cours de sa vérification avant de
2305 décider que le serveur distant ne possède pas de certificat valide.</p>
2307 La profondeur correspond en fait au nombre maximum de fournisseurs de
2308 certificats intermédiaires, c'est à dire le nombre maximum de
2310 de CA que l'on peut consulter lors de la vérification du certificat du
2311 serveur distant. Une profondeur de 0 signifie que seuls les certificats
2312 de serveurs distants auto-signés sont acceptés, et la profondeur par
2313 défaut de 1 que le certificat du serveur distant peut être soit
2314 auto-signé, soit signé par une CA connue directement du serveur (en
2315 d'autres termes, le certificat de CA est référencé par la directive
2316 <code class="directive"><a href="#sslproxycacertificatepath">SSLProxyCACertificatePath</a></code>),
2318 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyVerifyDepth 10</pre>
2322 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2323 <div class="directive-section"><h2><a name="sslrandomseed" id="sslrandomseed">Directive</a> <a name="SSLRandomSeed" id="SSLRandomSeed">SSLRandomSeed</a> <a title="Lien permanent" href="#sslrandomseed" class="permalink">¶</a></h2>
2324 <table class="directive">
2325 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Source de déclenchement du Générateur de Nombres
2326 Pseudo-Aléatoires (PRNG)</td></tr>
2327 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLRandomSeed <em>contexte</em> <em>source</em>
2328 [<em>nombre</em>]</code></td></tr>
2329 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale</td></tr>
2330 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2331 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2334 Cette directive permet de définir une ou plusieurs sources de
2335 déclenchement du Générateur de Nombres Pseudo-Aléatoires (PRNG) dans
2336 OpenSSL au démarrage du serveur (si <em>contexte</em> a pour valeur
2337 <code>startup</code>) et/ou juste avant l'établissement d'une nouvelle
2338 connexion SSL (si <em>contexte</em> a pour valeur <code>connect</code>).
2339 Cette directive ne peut être utilisée qu'au niveau du serveur global car
2340 le PRNG est un service global.</p>
2342 Les différentes valeurs de <em>source</em> disponibles sont :</p>
2344 <li><code>builtin</code>
2345 <p>Cette source de déclenchement intégrée est toujours disponible. Son
2346 utilisation consomme un minimum de cycles CPU en cours d'exécution, et son
2347 utilisation ne présente de ce fait aucun problème. La source utilisée pour
2348 déclencher le PRNG contient la date courante, l'identifiant du processus
2349 courant et un extrait de 128 octets aléatoirement choisi dans la pile. Ceci
2350 présente un inconvénient car le caractère aléatoire de cette source n'est
2351 pas vraiment fort, et au démarrage (lorsque la structure d'échanges n'est
2352 pas encore disponible), cette source ne produit que quelques octets
2353 d'entropie. Vous devez donc toujours utiliser une source de déclenchement
2354 additionnelle, au moins pour le démarrage.</p></li>
2355 <li><code>file:/chemin/vers/source</code>
2357 Cette variante utilise un fichier externe
2358 <code>file:/chemin/vers/source</code> comme source de déclenchement
2359 du PRNG. Lorsque <em>nombre</em> est spécifié, seuls les
2360 <em>nombre</em> premiers octets du fichier forment l'entropie (et
2361 <em>nombre</em> est fourni comme premier argument à
2362 <code>/chemin/vers/source</code>). Lorsque <em>nombre</em> n'est pas
2363 spécifié, l'ensemble du fichier forme l'entropie (et <code>0</code>
2364 est fourni comme premier argument à
2365 <code>/chemin/vers/source</code>). Utilisez cette source en
2366 particulier au démarrage, par exemple avec un fichier de
2367 périphérique <code>/dev/random</code> et/ou
2368 <code>/dev/urandom</code> (qui sont en général présent sur les
2369 plate-formes dérivées d'Unix modernes comme FreeBSD et Linux).</p>
2370 <p><em>Soyez cependant prudent</em> : en général,
2371 <code>/dev/random</code> ne fournit que l'entropie dont il dispose
2372 réellement ; en d'autres termes, lorsque vous demandez 512 octets
2373 d'entropie, si le périphérique ne dispose que de 100 octets, deux
2374 choses peuvent se produire : sur certaines plates-formes, vous ne
2375 recevez que les 100 octets, alors que sur d'autres, la lecture se
2376 bloque jusqu'à ce qu'un nombre suffisant d'octets soit disponible
2377 (ce qui peut prendre beaucoup de temps). Il est préférable ici
2378 d'utiliser le périphérique <code>/dev/urandom</code>, car il ne se
2379 bloque jamais et fournit vraiment la quantité de données demandées.
2380 Comme inconvénient, les données reçues ne sont pas forcément de la
2381 meilleure qualité.</p></li>
2383 <li><code>exec:/chemin/vers/programme</code>
2385 Cette variante utilise un exécutable externe
2386 <code>/chemin/vers/programme</code> comme source de déclenchement du
2387 PRNG. Lorsque <em>nombre</em> est spécifié, seules les
2388 <em>nombre</em> premiers octets de son flux <code>stdout</code>
2389 forment l'entropie. Lorsque <em>nombre</em> n'est pas spécifié,
2390 l'intégralité des données produites sur <code>stdout</code> forment
2391 l'entropie. N'utilisez cette variante qu'au démarrage où une source
2392 de déclenchement fortement aléatoire est nécessaire, en utilisant
2393 un programme externe (comme dans l'exemple
2394 ci-dessous avec l'utilitaire <code>truerand</code> basé sur la
2395 bibliothèque <em>truerand</em> de AT&T que vous trouverez
2396 dans la distribution de mod_ssl). Bien entendu, l'utilisation de
2397 cette variante dans un contexte "connection" ralentit le serveur de
2398 manière trop importante, et en général, vous devez donc éviter
2399 d'utiliser des programmes externes dans ce contexte.</p></li>
2400 <li><code>egd:/chemin/vers/socket-egd</code> (Unix seulement)
2401 <p>Cette variante utilise le socket de domaine Unix du Démon
2402 Générateur d'Entropie externe ou Entropy Gathering Daemon ou EGD
2403 (voir <a href="http://www.lothar.com/tech/crypto/">http://www.lothar.com/tech
2404 /crypto/</a>) pour déclencher le PRNG. N'utilisez cette variante que
2405 si votre plate-forme ne possède pas de périphérique random ou
2408 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRandomSeed startup builtin
2409 SSLRandomSeed startup "file:/dev/random"
2410 SSLRandomSeed startup "file:/dev/urandom" 1024
2411 SSLRandomSeed startup "exec:/usr/local/bin/truerand" 16
2412 SSLRandomSeed connect builtin
2413 SSLRandomSeed connect "file:/dev/random"
2414 SSLRandomSeed connect "file:/dev/urandom" 1024</pre>
2418 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2419 <div class="directive-section"><h2><a name="sslrenegbuffersize" id="sslrenegbuffersize">Directive</a> <a name="SSLRenegBufferSize" id="SSLRenegBufferSize">SSLRenegBufferSize</a> <a title="Lien permanent" href="#sslrenegbuffersize" class="permalink">¶</a></h2>
2420 <table class="directive">
2421 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit la taille du tampon de renégociation
2423 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLRenegBufferSize <var>taille</var></code></td></tr>
2424 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLRenegBufferSize 131072</code></td></tr>
2425 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr>
2426 <tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>AuthConfig</td></tr>
2427 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2428 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2431 <p>Si une renégociation SSL est requise dans un contexte de répertoire,
2432 par exemple avec l'utilisation de <code class="directive"><a href="#sslverifyclient">SSLVerifyClient</a></code> dans un bloc Directory ou
2433 Location, mod_ssl doit mettre en tampon en mémoire tout corps de requête
2434 HTTP en attendant qu'une nouvelle initialisation de connexion SSL puisse
2435 être effectuée. Cette directive permet de définir la quantité de mémoire
2436 à allouer pour ce tampon.</p>
2438 <div class="warning"><p>
2439 Notez que dans de nombreuses configurations, le client qui envoie un
2440 corps de requête n'est pas forcément digne de confiance, et l'on doit
2441 par conséquent prendre en considération la possibilité d'une attaque de
2442 type déni de service lorsqu'on modifie la valeur de cette directive.
2445 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRenegBufferSize 262144</pre>
2449 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2450 <div class="directive-section"><h2><a name="sslrequire" id="sslrequire">Directive</a> <a name="SSLRequire" id="SSLRequire">SSLRequire</a> <a title="Lien permanent" href="#sslrequire" class="permalink">¶</a></h2>
2451 <table class="directive">
2452 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>N'autorise l'accès que lorsqu'une expression booléenne
2453 complexe et arbitraire est vraie</td></tr>
2454 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLRequire <em>expression</em></code></td></tr>
2455 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr>
2456 <tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>AuthConfig</td></tr>
2457 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2458 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2460 <div class="note"><h3>SSLRequire is obsolète</h3>
2461 <p><code>SSLRequire</code> est obsolète et doit en général être
2462 remplacée par l'expression <a href="mod_authz_core.html#reqexpr">Require</a>. La syntaxe <a href="../expr.html">ap_expr</a> de l'expression <code>Require</code> est
2463 une extension de la syntaxe de <code>SSLRequire</code>, avec les
2464 différences suivantes :</p>
2466 <p>Avec <code>SSLRequire</code>, les opérateurs de comparaison
2467 <code><</code>, <code><=</code>, ... sont strictement équivalents
2468 aux opérateurs <code>lt</code>, <code>le</code>, ... , et fonctionnent
2469 selon une méthode qui compare tout d'abord la longueur des deux chaînes,
2470 puis l'ordre alphabétique. Les expressions <a href="../expr.html">ap_expr</a>, quant à elles, possèdent deux jeux
2471 d'opérateurs de comparaison : les opérateurs <code><</code>,
2472 <code><=</code>, ... effectuent une comparaison alphabétique de
2473 chaînes, alors que les opérateurs <code>-lt</code>, <code>-le</code>,
2474 ... effectuent une comparaison d'entiers. Ces derniers possèdent aussi
2475 des alias sans tiret initial : <code>lt</code>, <code>le</code>, ...
2480 <p>Cette directive permet de spécifier une condition générale d'accès
2481 qui doit être entièrement satisfaite pour que l'accès soit autorisé.
2482 C'est une directive très puissante, car la condition d'accès spécifiée
2483 est une expression booléenne complexe et arbitraire contenant un nombre
2484 quelconque de vérifications quant aux autorisations d'accès.</p>
2486 L'<em>expression</em> doit respecter la syntaxe suivante (fournie ici
2487 sous la forme d'une notation dans le style de la grammaire BNF) :</p>
2489 <pre>expr ::= "<strong>true</strong>" | "<strong>false</strong>"
2490 | "<strong>!</strong>" expr
2491 | expr "<strong>&&</strong>" expr
2492 | expr "<strong>||</strong>" expr
2493 | "<strong>(</strong>" expr "<strong>)</strong>"
2496 comp ::= word "<strong>==</strong>" word | word "<strong>eq</strong>" word
2497 | word "<strong>!=</strong>" word | word "<strong>ne</strong>" word
2498 | word "<strong><</strong>" word | word "<strong>lt</strong>" word
2499 | word "<strong><=</strong>" word | word "<strong>le</strong>" word
2500 | word "<strong>></strong>" word | word "<strong>gt</strong>" word
2501 | word "<strong>>=</strong>" word | word "<strong>ge</strong>" word
2502 | word "<strong>in</strong>" "<strong>{</strong>" wordlist "<strong>}</strong>"
2503 | word "<strong>in</strong>" "<strong>PeerExtList(</strong>" word "<strong>)</strong>"
2504 | word "<strong>=~</strong>" regex
2505 | word "<strong>!~</strong>" regex
2508 | wordlist "<strong>,</strong>" word
2517 variable ::= "<strong>%{</strong>" varname "<strong>}</strong>"
2518 function ::= funcname "<strong>(</strong>" funcargs "<strong>)</strong>"</pre>
2520 <p>Pour <code>varname</code>, toute variable décrite dans <a href="#envvars">Variables d'environnement</a> pourra être utilisée.
2521 Pour <code>funcname</code>, vous trouverez la liste des fonctions
2522 disponibles dans la <a href="../expr.html#functions">documentation
2525 <p><em>expression</em> est interprétée et traduite
2526 sous une forme machine interne lors du chargement de la configuration,
2527 puis évaluée lors du traitement de la requête. Dans le contexte des
2528 fichiers .htaccess, <em>expression</em> est interprétée et exécutée
2529 chaque fois que le fichier .htaccess intervient lors du traitement de la
2531 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \
2532 and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
2533 and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"} \
2534 and %{TIME_WDAY} -ge 1 and %{TIME_WDAY} -le 5 \
2535 and %{TIME_HOUR} -ge 8 and %{TIME_HOUR} -le 20 ) \
2536 or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/</pre>
2540 <p>La fonction <code>PeerExtList(<em>identifiant objet</em>)</code>
2541 recherche une instance d'extension de certificat X.509 identifiée par
2542 <em>identifiant objet</em> (OID) dans le certificat client. L'expression est
2543 évaluée à true si la partie gauche de la chaîne correspond exactement à
2544 la valeur d'une extension identifiée par cet OID (Si plusieurs
2545 extensions possèdent le même OID, l'une d'entre elles au moins doit
2549 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRequire "foobar" in PeerExtList("1.2.3.4.5.6")</pre>
2552 <div class="note"><h3>Notes à propos de la fonction PeerExtList</h3>
2556 <li><p>L'identifiant objet peut être spécifié soit comme un nom
2557 descriptif reconnu par la bibliothèque SSL, tel que
2558 <code>"nsComment"</code>, soit comme un OID numérique tel que
2559 <code>"1.2.3.4.5.6"</code>.</p></li>
2561 <li><p>Les expressions contenant des types connus de la bibliothèque
2562 SSL sont transformées en chaînes avant comparaison. Pour les extensions
2563 contenant un type non connu de la bibliothèque SSL, mod_ssl va essayer
2564 d'interpréter la valeur s'il s'agit d'un des types ASN.1 primaire UTF8String,
2565 IA5String, VisibleString, ou BMPString. Si l'extension correspond à un
2566 de ces types, la chaîne sera convertie en UTF-8 si nécessaire, puis
2567 comparée avec la partie gauche de l'expression.</p></li>
2575 <li><a href="../env.html">Les variables d'environnement dans le
2576 serveur HTTP Apache</a>, pour d'autres exemples.
2578 <li><a href="mod_authz_core.html#reqexpr">Require expr</a></li>
2579 <li><a href="../expr.html">Syntaxe générale des expressions dans le
2580 serveur HTTP Apache</a>
2584 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2585 <div class="directive-section"><h2><a name="sslrequiressl" id="sslrequiressl">Directive</a> <a name="SSLRequireSSL" id="SSLRequireSSL">SSLRequireSSL</a> <a title="Lien permanent" href="#sslrequiressl" class="permalink">¶</a></h2>
2586 <table class="directive">
2587 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Interdit l'accès lorsque la requête HTTP n'utilise pas
2589 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLRequireSSL</code></td></tr>
2590 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr>
2591 <tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>AuthConfig</td></tr>
2592 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2593 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2596 Cette directive interdit l'accès si HTTP sur SSL (c'est à dire HTTPS)
2597 n'est pas activé pour la connexion courante. Ceci est très pratique dans
2598 un serveur virtuel où SSL est activé ou dans un répertoire pour se
2599 protéger des erreurs de configuration qui pourraient donner accès à des
2600 ressources protégées. Lorsque cette directive est présente, toutes les
2601 requêtes qui n'utilisent pas SSL sont rejetées.</p>
2602 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRequireSSL</pre>
2606 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2607 <div class="directive-section"><h2><a name="sslsessioncache" id="sslsessioncache">Directive</a> <a name="SSLSessionCache" id="SSLSessionCache">SSLSessionCache</a> <a title="Lien permanent" href="#sslsessioncache" class="permalink">¶</a></h2>
2608 <table class="directive">
2609 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Type du cache de session SSL global et
2610 inter-processus</td></tr>
2611 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLSessionCache <em>type</em></code></td></tr>
2612 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLSessionCache none</code></td></tr>
2613 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale</td></tr>
2614 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2615 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2618 Cette directive permet de configurer le type de stockage du cache de
2619 session SSL global et inter-processus. Ce cache est une fonctionnalité
2620 optionnelle qui accélère le traitement parallèle des requêtes. Pour ce
2621 qui est des requêtes vers un même processus du serveur (via HTTP
2622 keep-alive), OpenSSL met en cache les informations de session SSL en
2623 interne. Mais comme les clients modernes demandent des images en ligne
2624 et d'autres données via des requêtes parallèles (un nombre de quatre
2625 requêtes parallèles est courant), ces requêtes vont être servies par
2626 <em>plusieurs</em> processus du serveur pré-déclenchés. Ici, un cache
2627 inter-processus permet d'éviter des négociations de session
2630 Les quatre <em>type</em>s de stockage suivants sont actuellement
2633 <li><code>none</code>
2635 <p>Cette valeur désactive le cache de session global et
2636 inter-processus, ce qui va ralentir le serveur de manière sensible
2637 et peut poser problème avec certains navigateurs, en particulier si
2638 les certificats clients sont activés. Cette configuration n'est pas
2639 recommandée.</p></li>
2641 <li><code>nonenotnull</code>
2643 <p>Cette valeur désactive tout cache de session global et
2644 inter-processus. Cependant, elle force OpenSSL à envoyer un
2645 identifiant de session non nul afin de s'adapter aux clients bogués
2646 qui en nécessitent un.</p></li>
2648 <li><code>dbm:/chemin/vers/fichier-données</code>
2650 <p>Cette valeur utilise un fichier de hashage DBM sur disque local
2651 pour synchroniser les caches OpenSSL locaux en mémoire des processus
2652 du serveur. Ce cache de session peut être sujet à des problèmes de
2653 fiabilité sous forte charge. Pour l'utiliser, le module
2654 <code class="module"><a href="../mod/mod_socache_dbm.html">mod_socache_dbm</a></code> doit être chargé.</p></li>
2656 <li><code>shmcb:/chemin/vers/fichier-données</code>[<code>(</code><em>nombre</em><code>)</code>]
2658 <p>Cette valeur utilise un tampon cyclique à hautes performances
2659 (d'une taille d'environ <em>nombre</em> octets) dans un segment de
2660 mémoire partagée en RAM (établi via
2661 <code>/chemin/vers/fichier-données</code>, pour synchroniser les
2662 caches OpenSSL locaux en mémoire des processus du serveur. C'est le
2663 type de cache de session recommandé. Pour l'utiliser, le module
2664 <code class="module"><a href="../mod/mod_socache_shmcb.html">mod_socache_shmcb</a></code> doit être chargé.</p></li>
2666 <li><code>dc:UNIX:/chemin/vers/socket</code>
2668 <p>Cette valeur utilise les bibliothèques de mise en cache de
2669 sessions distribuée sur <a href="http://distcache.sourceforge.net/">distcache</a>.
2670 L'argument doit spécifier le serveur ou mandataire à utiliser en
2671 utilisant la syntaxe d'adressage distcache ; par exemple,
2672 <code>UNIX:/chemin/vers/socket</code> spécifie un socket de domaine
2673 Unix (en général un mandataire de dc_client local) ;
2674 <code>IP:serveur.example.com:9001</code> spécifie une adresse IP.
2675 Pour l'utiliser, le module <code class="module"><a href="../mod/mod_socache_dc.html">mod_socache_dc</a></code> doit être
2680 <div class="example"><h3>Exemples</h3><pre class="prettyprint lang-config">SSLSessionCache "dbm:/usr/local/apache/logs/ssl_gcache_data"
2681 SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_gcache_data(512000)"</pre>
2684 <p>Le mutex <code>ssl-cache</code> permet de sérialiser l'accès au cache
2685 de session afin d'éviter toute corruption. Ce mutex peut être configuré
2686 via la directive <code class="directive"><a href="../mod/core.html#mutex">Mutex</a></code>.</p>
2689 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2690 <div class="directive-section"><h2><a name="sslsessioncachetimeout" id="sslsessioncachetimeout">Directive</a> <a name="SSLSessionCacheTimeout" id="SSLSessionCacheTimeout">SSLSessionCacheTimeout</a> <a title="Lien permanent" href="#sslsessioncachetimeout" class="permalink">¶</a></h2>
2691 <table class="directive">
2692 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre de secondes avant l'expiration d'une session SSL
2693 dans le cache de sessions</td></tr>
2694 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLSessionCacheTimeout <em>secondes</em></code></td></tr>
2695 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLSessionCacheTimeout 300</code></td></tr>
2696 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
2697 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2698 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2699 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>S'applique aussi au renouvellement de la session TLS de
2700 la RFC 5077 à partir de la version 2.4.10 du serveur HTTP Apache</td></tr>
2703 Cette directive permet de définir la durée de vie en secondes des
2704 informations stockées dans le cache de sessions SSL global et
2705 inter-processus, dans le cache OpenSSL interne en mémoire et pour
2706 les sessions réinitialisées par la reprise de session TLS (RFC 5077). elle peut
2707 être définie à une valeur d'environ 15 à des fins de test, mais à une
2708 valeur très supérieure comme 300 en production.</p>
2709 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLSessionCacheTimeout 600</pre>
2713 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2714 <div class="directive-section"><h2><a name="sslsessionticketkeyfile" id="sslsessionticketkeyfile">Directive</a> <a name="SSLSessionTicketKeyFile" id="SSLSessionTicketKeyFile">SSLSessionTicketKeyFile</a> <a title="Lien permanent" href="#sslsessionticketkeyfile" class="permalink">¶</a></h2>
2715 <table class="directive">
2716 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Clé de chiffrement/déchiffrement permanente pour les
2717 tickets de session TLS</td></tr>
2718 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLSessionTicketKeyFile <var>file-path</var></code></td></tr>
2719 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
2720 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2721 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2722 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible depuis la version 2.4.0 du serveur HTTP
2723 Apache, sous réserve que l'on utilise une version 0.9.8h ou supérieure
2726 <p>Cette directive permet de définir une clé secrète pour le chiffrement
2727 et le déchiffrement des tickets de session TLS selon les préconisations
2728 de la <a href="http://www.ietf.org/rfc/rfc5077.txt">RFC 5077</a>. Elle a
2729 été conçue à l'origine pour les environnements de clusters où les
2730 données des sessions TLS doivent être partagées entre plusieurs noeuds.
2731 Pour les configurations ne comportant qu'une seule instance de httpd, il
2732 est préférable d'utiliser les clés (aléatoires) générées par mod_ssl au
2733 démarrage du serveur.</p>
2734 <p>Le fichier doit contenir 48 octets de données aléatoires créées de
2735 préférence par une source à haute entropie. Sur un système de type UNIX,
2736 il est possible de créer le fichier contenant la clé de la manière
2739 <div class="example"><p><code>
2740 dd if=/dev/random of=/chemin/vers/fichier.tkey bs=1 count=48
2743 <p>Ces clés doivent être renouvelées fréquemment, car il s'agit du seul
2744 moyen d'invalider un ticket de session existant - OpenSSL ne permet pas
2745 actuellement de spécifier une limite à la durée de
2746 vie des tickets. Une nouvelle clé de ticket ne peut être utilisée qu'après
2747 redémarrage du serveur web. Tous les tickets de session existants
2748 deviennent invalides après le redémarrage du serveur.</p>
2750 <div class="warning">
2751 <p>Ce fichier contient des données sensibles et doit donc être protégé
2752 par des permissions similaires à celles du fichier spécifié par la
2753 directive <code class="directive"><a href="#sslcertificatekeyfile">SSLCertificateKeyFile</a></code>.</p>
2757 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2758 <div class="directive-section"><h2><a name="sslsessiontickets" id="sslsessiontickets">Directive</a> <a name="SSLSessionTickets" id="SSLSessionTickets">SSLSessionTickets</a> <a title="Lien permanent" href="#sslsessiontickets" class="permalink">¶</a></h2>
2759 <table class="directive">
2760 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active ou désactive les tickets de session TLS</td></tr>
2761 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLSessionTickets on|off</code></td></tr>
2762 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLSessionTickets on</code></td></tr>
2763 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
2764 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2765 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2766 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.4.11 du serveur HTTP
2767 Apache, sous réserve d'utiliser OpenSSL version 0.9.8f ou supérieure.
2770 <p>Cette directive permet d'activer ou de désactiver l'utilisation des
2771 tickets de session TLS (RFC 5077).</p>
2772 <div class="warning">
2773 <p>Les tickets de session TLS sont activés par défaut. Les utiliser sans
2774 redémarrer le serveur selon une périodicité appropriée (par exemple
2775 quotidiennement) compromet cependant le niveau de confidentialité.</p>
2779 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2780 <div class="directive-section"><h2><a name="sslsrpunknownuserseed" id="sslsrpunknownuserseed">Directive</a> <a name="SSLSRPUnknownUserSeed" id="SSLSRPUnknownUserSeed">SSLSRPUnknownUserSeed</a> <a title="Lien permanent" href="#sslsrpunknownuserseed" class="permalink">¶</a></h2>
2781 <table class="directive">
2782 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Source de randomisation pour utilisateur SRP inconnu</td></tr>
2783 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLSRPUnknownUserSeed <em>secret-string</em></code></td></tr>
2784 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
2785 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2786 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2787 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible depuis la version 2.4.4 du serveur HTTP
2788 Apache, sous réserve d'utiliser OpenSSL version 1.0.1 ou supérieure.</td></tr>
2791 Cette directive permet de définir la source de randomisation à utiliser
2792 pour les utilisateurs SRP inconnus, ceci afin de combler les manques en
2793 cas d'existence d'un tel utilisateur. Elle définit une chaîne secrète. Si
2794 cette directive n'est pas définie, Apache renverra une alerte
2795 UNKNOWN_PSK_IDENTITY aux clients qui fournissent un nom d'utilisateur
2798 <div class="example"><h3>Exemple</h3><p><code>
2799 SSLSRPUnknownUserSeed "secret"
2803 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2804 <div class="directive-section"><h2><a name="sslsrpverifierfile" id="sslsrpverifierfile">Directive</a> <a name="SSLSRPVerifierFile" id="SSLSRPVerifierFile">SSLSRPVerifierFile</a> <a title="Lien permanent" href="#sslsrpverifierfile" class="permalink">¶</a></h2>
2805 <table class="directive">
2806 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Chemin du fichier de vérification SRP</td></tr>
2807 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLSRPVerifierFile <var>file-path</var></code></td></tr>
2808 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
2809 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2810 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2811 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible depuis la version 2.4.4 du serveur HTTP
2812 Apache, sous réserve d'utiliser OpenSSL version 1.0.1 ou supérieure.</td></tr>
2815 Cette directive permet d'activer TLS-SRP et de définir le chemin du
2816 fichier de vérification OpenSSL SRP (Mot de passe distant sécurisé)
2817 contenant les noms d'utilisateurs TLS-SRP, les vérificateurs, les
2818 "grains de sel" (salts), ainsi que les paramètres de groupe.</p>
2819 <div class="example"><h3>Exemple</h3><p><code>
2820 SSLSRPVerifierFile "/path/to/file.srpv"
2823 Le fichier de vérification peut être créé via l'utilitaire en ligne de
2824 commande <code>openssl</code> :</p>
2825 <div class="example"><h3>Création du fichier de vérification SRP</h3><p><code>
2826 openssl srp -srpvfile passwd.srpv -userinfo "some info" -add username
2828 <p>La valeur affectée au paramètre optionnel <code>-userinfo</code> est
2829 enregistrée dans la variable d'environnement
2830 <code>SSL_SRP_USERINFO</code>.</p>
2834 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2835 <div class="directive-section"><h2><a name="sslstaplingcache" id="sslstaplingcache">Directive</a> <a name="SSLStaplingCache" id="SSLStaplingCache">SSLStaplingCache</a> <a title="Lien permanent" href="#sslstaplingcache" class="permalink">¶</a></h2>
2836 <table class="directive">
2837 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configuration du cache pour l'agrafage OCSP</td></tr>
2838 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingCache <em>type</em></code></td></tr>
2839 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale</td></tr>
2840 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2841 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2842 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible si on utilise OpenSSL version 0.9.8h ou supérieure</td></tr>
2844 <p>Si <code class="directive"><a href="#sslusestapling">SSLUseStapling</a></code> est à "on",
2845 cette directive permet de configurer le cache destiné à stocker les
2846 réponses OCSP incluses dans la négociation TLS. La configuration d'un
2847 cache est obligatoire pour pouvoir utiliser l'agrafage OCSP. A
2848 l'exception de <code>none</code> et <code>nonenotnull</code>, cette
2849 directive supporte les mêmes types de stockage que la directive
2850 <code class="directive"><a href="#sslsessioncache">SSLSessionCache</a></code>.</p>
2854 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2855 <div class="directive-section"><h2><a name="sslstaplingerrorcachetimeout" id="sslstaplingerrorcachetimeout">Directive</a> <a name="SSLStaplingErrorCacheTimeout" id="SSLStaplingErrorCacheTimeout">SSLStaplingErrorCacheTimeout</a> <a title="Lien permanent" href="#sslstaplingerrorcachetimeout" class="permalink">¶</a></h2>
2856 <table class="directive">
2857 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Durée de vie des réponses invalides dans le cache pour
2858 agrafage OCSP</td></tr>
2859 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingErrorCacheTimeout <em>secondes</em></code></td></tr>
2860 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLStaplingErrorCacheTimeout 600</code></td></tr>
2861 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
2862 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2863 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2864 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible si on utilise OpenSSL version 0.9.8h ou supérieure</td></tr>
2866 <p>Cette directive permet de définir la durée de vie des réponses
2867 <em>invalides</em> dans le cache pour agrafage OCSP configuré via la
2868 directive <code class="directive"><a href="#sslstaplingcache">SSLStaplingCache</a></code>. Pour
2869 définir la durée de vie des réponses valides, voir la directive
2870 <code class="directive"><a href="#sslstaplingstandardcachetimeout">SSLStaplingStandardCacheTimeout</a></code>.</p>
2873 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2874 <div class="directive-section"><h2><a name="sslstaplingfaketrylater" id="sslstaplingfaketrylater">Directive</a> <a name="SSLStaplingFakeTryLater" id="SSLStaplingFakeTryLater">SSLStaplingFakeTryLater</a> <a title="Lien permanent" href="#sslstaplingfaketrylater" class="permalink">¶</a></h2>
2875 <table class="directive">
2876 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Génère une réponse "tryLater" pour les requêtes OCSP échouées</td></tr>
2877 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingFakeTryLater on|off</code></td></tr>
2878 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLStaplingFakeTryLater on</code></td></tr>
2879 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
2880 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2881 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2882 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible si on utilise OpenSSL version 0.9.8h ou supérieure</td></tr>
2884 <p>Lorsque cette directive est activée, et si une requête vers un
2885 serveur OCSP à des fins d'inclusion dans une négociation TLS échoue,
2886 mod_ssl va générer une réponse "tryLater" pour le client (<code class="directive"><a href="#sslstaplingreturnrespondererrors">SSLStaplingReturnResponderErrors</a></code> doit être
2890 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2891 <div class="directive-section"><h2><a name="sslstaplingforceurl" id="sslstaplingforceurl">Directive</a> <a name="SSLStaplingForceURL" id="SSLStaplingForceURL">SSLStaplingForceURL</a> <a title="Lien permanent" href="#sslstaplingforceurl" class="permalink">¶</a></h2>
2892 <table class="directive">
2893 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Remplace l'URI du serveur OCSP spécifié dans l'extension
2894 AIA du certificat</td></tr>
2895 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingForceURL <em>uri</em></code></td></tr>
2896 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
2897 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2898 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2899 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible si on utilise OpenSSL version 0.9.8h ou supérieure</td></tr>
2901 <p>Cette directive permet de remplacer l'URI du serveur OCSP extraite de
2902 l'extension authorityInfoAccess (AIA) du certificat. Elle peut s'avérer
2903 utile lorsqu'on passe par un mandataire</p>
2906 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2907 <div class="directive-section"><h2><a name="sslstaplingrespondertimeout" id="sslstaplingrespondertimeout">Directive</a> <a name="SSLStaplingResponderTimeout" id="SSLStaplingResponderTimeout">SSLStaplingResponderTimeout</a> <a title="Lien permanent" href="#sslstaplingrespondertimeout" class="permalink">¶</a></h2>
2908 <table class="directive">
2909 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Temps d'attente maximum pour les requêtes vers les serveurs
2911 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingResponderTimeout <em>secondes</em></code></td></tr>
2912 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLStaplingResponderTimeout 10</code></td></tr>
2913 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
2914 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2915 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2916 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible si on utilise OpenSSL version 0.9.8h ou supérieure</td></tr>
2918 <p>Cette directive permet de définir le temps d'attente maximum lorsque
2919 mod_ssl envoie une requête vers un serveur OCSP afin d'obtenir une
2920 réponse destinée à être incluse dans les négociations TLS avec les
2921 clients (<code class="directive"><a href="#sslusestapling">SSLUseStapling</a></code> doit
2922 avoir été activée au préalable).</p>
2925 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2926 <div class="directive-section"><h2><a name="sslstaplingresponsemaxage" id="sslstaplingresponsemaxage">Directive</a> <a name="SSLStaplingResponseMaxAge" id="SSLStaplingResponseMaxAge">SSLStaplingResponseMaxAge</a> <a title="Lien permanent" href="#sslstaplingresponsemaxage" class="permalink">¶</a></h2>
2927 <table class="directive">
2928 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Age maximum autorisé des réponses OCSP incluses dans la
2929 négociation TLS</td></tr>
2930 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingResponseMaxAge <em>secondes</em></code></td></tr>
2931 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLStaplingResponseMaxAge -1</code></td></tr>
2932 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
2933 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2934 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2935 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible si on utilise OpenSSL version 0.9.8h ou supérieure</td></tr>
2937 <p>Cette directive permet de définir l'âge maximum autorisé
2938 ("fraîcheur") des réponses OCSP incluses dans la négociation TLS
2939 (<code class="directive"><a href="#sslusestapling">SSLUseStapling</a></code> doit
2940 avoir été activée au préalable). La valeur par défaut (<code>-1</code>)
2941 ne définit aucun âge maximum, ce qui signifie que les réponses OCSP sont
2942 considérées comme valides à partir du moment où le contenu de leur champ
2943 <code>nextUpdate</code> se trouve dans le futur.</p>
2946 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2947 <div class="directive-section"><h2><a name="sslstaplingresponsetimeskew" id="sslstaplingresponsetimeskew">Directive</a> <a name="SSLStaplingResponseTimeSkew" id="SSLStaplingResponseTimeSkew">SSLStaplingResponseTimeSkew</a> <a title="Lien permanent" href="#sslstaplingresponsetimeskew" class="permalink">¶</a></h2>
2948 <table class="directive">
2949 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Durée de vie maximale autorisée des réponses OCSP incluses dans la
2950 négociation TLS</td></tr>
2951 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingResponseTimeSkew <em>secondes</em></code></td></tr>
2952 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLStaplingResponseTimeSkew 300</code></td></tr>
2953 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
2954 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2955 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2956 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible si on utilise OpenSSL version 0.9.8h ou supérieure</td></tr>
2958 <p>Cette directive permet de spécifier l'intervalle de temps maximum que
2959 mod_ssl va calculer en faisant la différence entre les contenus des
2960 champs <code>nextUpdate</code> et <code>thisUpdate</code> des réponses
2961 OCSP incluses dans la négociation TLS. Pour pouvoir utiliser cette
2962 directive, <code class="directive"><a href="#sslusestapling">SSLUseStapling</a></code> doit
2966 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2967 <div class="directive-section"><h2><a name="sslstaplingreturnrespondererrors" id="sslstaplingreturnrespondererrors">Directive</a> <a name="SSLStaplingReturnResponderErrors" id="SSLStaplingReturnResponderErrors">SSLStaplingReturnResponderErrors</a> <a title="Lien permanent" href="#sslstaplingreturnrespondererrors" class="permalink">¶</a></h2>
2968 <table class="directive">
2969 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Transmet au client les erreurs survenues lors des requêtes
2971 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingReturnResponderErrors on|off</code></td></tr>
2972 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLStaplingReturnResponderErrors on</code></td></tr>
2973 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
2974 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2975 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2976 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible si on utilise OpenSSL version 0.9.8h ou supérieure</td></tr>
2978 <p>Lorsque cette directive est activée, mod_ssl va transmettre au client les
2979 réponses concernant les requêtes OCSP
2980 échouées (comme les réponses avec un état autre que
2981 "successful", les réponses avec un statut de certificat autre que
2982 "good", les réponses
2983 périmées, etc...). Lorsqu'elle est à
2984 <code>off</code>, seules les réponses indiquant un statut de certificat
2985 "good" seront incluses dans les
2986 négociations TLS avec les clients.</p>
2989 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
2990 <div class="directive-section"><h2><a name="sslstaplingstandardcachetimeout" id="sslstaplingstandardcachetimeout">Directive</a> <a name="SSLStaplingStandardCacheTimeout" id="SSLStaplingStandardCacheTimeout">SSLStaplingStandardCacheTimeout</a> <a title="Lien permanent" href="#sslstaplingstandardcachetimeout" class="permalink">¶</a></h2>
2991 <table class="directive">
2992 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Durée de vie des réponses OCSP dans le cache</td></tr>
2993 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStaplingStandardCacheTimeout <em>secondes</em></code></td></tr>
2994 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLStaplingStandardCacheTimeout 3600</code></td></tr>
2995 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
2996 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
2997 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
2998 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible si on utilise OpenSSL version 0.9.8h ou supérieure</td></tr>
3000 <p>Cette directive permet de définir la durée de vie des réponses OCSP
3001 dans le cache configuré via la directive <code class="directive"><a href="#sslstaplingcache">SSLStaplingCache</a></code>. Elle ne s'applique qu'aux
3002 réponse <em>valides</em>, alors que la directive <code class="directive"><a href="#sslstaplingerrorcachetimeout">SSLStaplingErrorCacheTimeout</a></code> s'applique aux
3003 réponses invalides ou non disponibles.
3007 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
3008 <div class="directive-section"><h2><a name="sslstrictsnivhostcheck" id="sslstrictsnivhostcheck">Directive</a> <a name="SSLStrictSNIVHostCheck" id="SSLStrictSNIVHostCheck">SSLStrictSNIVHostCheck</a> <a title="Lien permanent" href="#sslstrictsnivhostcheck" class="permalink">¶</a></h2>
3009 <table class="directive">
3010 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Contrôle de l'accès des clients non-SNI à un serveur virtuel à
3013 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLStrictSNIVHostCheck on|off</code></td></tr>
3014 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLStrictSNIVHostCheck off</code></td></tr>
3015 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
3016 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
3017 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
3020 Cette directive permet de contrôler l'accès des clients non-SNI à un serveur
3021 virtuel à base de nom. Si elle est définie à <code>on</code> dans le
3022 serveur virtuel à base de nom par défaut, les
3023 clients non-SNI ne seront autorisés à accéder à aucun serveur virtuel
3024 appartenant à cette combinaison IP/port. Par
3025 contre, si elle est définie à <code>on</code> dans un serveur virtuel
3026 quelconque, les clients non-SNI ne se verront interdire l'accès qu'à ce
3030 <div class="warning"><p>
3031 Cette option n'est disponible que si httpd a été compilé avec une
3032 version d'OpenSSL supportant SNI.
3035 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLStrictSNIVHostCheck on</pre>
3039 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
3040 <div class="directive-section"><h2><a name="sslusername" id="sslusername">Directive</a> <a name="SSLUserName" id="SSLUserName">SSLUserName</a> <a title="Lien permanent" href="#sslusername" class="permalink">¶</a></h2>
3041 <table class="directive">
3042 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nom de la variable servant à déterminer le nom de
3043 l'utilisateur</td></tr>
3044 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLUserName <em>nom-var</em></code></td></tr>
3045 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, répertoire, .htaccess</td></tr>
3046 <tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>AuthConfig</td></tr>
3047 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
3048 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
3051 Cette variable permet de définir le champ "user" de l'objet de la
3052 requête Apache. Ce champ est utilisé par des modules de plus bas niveau
3053 pour identifier l'utilisateur avec une chaîne de caractères. En
3054 particulier, l'utilisation de cette directive peut provoquer la
3055 définition de la variable d'environnement <code>REMOTE_USER</code>.
3056 La valeur de l'argument <em>nom-var</em> peut correspondre à toute <a href="#envvars">variable d'environnement SSL</a>.</p>
3058 <p>Lorsque l'option <code>FakeBasicAuth</code> est activée, cette
3059 directive contrôle la valeur du nom d'utilisateur contenue dans
3060 l'en-tête d'authentification de base (voir <a href="#ssloptions">SSLOptions</a>).</p>
3062 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLUserName SSL_CLIENT_S_DN_CN</pre>
3066 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
3067 <div class="directive-section"><h2><a name="sslusestapling" id="sslusestapling">Directive</a> <a name="SSLUseStapling" id="SSLUseStapling">SSLUseStapling</a> <a title="Lien permanent" href="#sslusestapling" class="permalink">¶</a></h2>
3068 <table class="directive">
3069 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active l'ajout des réponses OCSP à la négociation TLS</td></tr>
3070 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLUseStapling on|off</code></td></tr>
3071 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLUseStapling off</code></td></tr>
3072 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel</td></tr>
3073 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
3074 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
3075 <tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible si on utilise OpenSSL version 0.9.8h ou supérieure</td></tr>
3077 <p>Cette directive permet d'activer l'"Agrafage OCSP" (OCSP stapling)
3078 selon la définition de l'extension TLS "Certificate Status Request"
3079 fournie dans la RFC 6066. Si elle est activée et si le client le
3080 demande, mod_ssl va inclure une réponse OCSP à propos de son propre
3081 certificat dans la négociation TLS. Pour pouvoir activer l'Agrafage
3082 OCSP, il est nécessaire de configurer un <code class="directive"><a href="#sslstaplingcache">SSLStaplingCache</a></code>.</p>
3084 <p>L'agrafage OCSP dispense le client de requérir le serveur OCSP
3085 directement ; il faut cependant noter que selon les spécifications de la
3086 RFC 6066, la réponse <code>CertificateStatus</code> du serveur ne peut
3087 inclure une réponse OCSP que pour un seul certificat. Pour les
3088 certificats de serveur comportant des certificats de CA intermédiaires
3089 dans leur chaîne (c'est un cas typique de nos jours), l'implémentation
3090 actuelle de l'agrafage OCSP n'atteint que partiellement l'objectif d'
3091 "économie en questions/réponse et en ressources". Pour plus de détails,
3092 voir la <a href="http://www.ietf.org/rfc/rfc6961.txt">RFC 6961</a> (TLS
3093 Multiple Certificate Status Extension).
3096 <p>Lorsque l'agrafage OCSP est activé, le mutex
3097 <code>ssl-stapling</code> contrôle l'accès au cache de l'agrafage OCSP
3098 afin de prévenir toute corruption, et le mutex
3099 <code>sss-stapling-refresh</code> contrôle le raffraîchissement des
3100 réponses OCSP. Ces mutex peuvent être configurés via la directive
3101 <code class="directive"><a href="../mod/core.html#mutex">Mutex</a></code>.
3105 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
3106 <div class="directive-section"><h2><a name="sslverifyclient" id="sslverifyclient">Directive</a> <a name="SSLVerifyClient" id="SSLVerifyClient">SSLVerifyClient</a> <a title="Lien permanent" href="#sslverifyclient" class="permalink">¶</a></h2>
3107 <table class="directive">
3108 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Niveau de vérification du certificat client</td></tr>
3109 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLVerifyClient <em>niveau</em></code></td></tr>
3110 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLVerifyClient none</code></td></tr>
3111 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, répertoire, .htaccess</td></tr>
3112 <tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>AuthConfig</td></tr>
3113 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
3114 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
3117 Cette directive permet de définir le niveau de vérification du
3118 certificat pour l'authentification du client. Notez que cette directive
3119 peut être utilisée à la fois dans les contextes du serveur principal et
3120 du répertoire. Dans le contexte du serveur principal, elle s'applique au
3121 processus d'authentification du client utilisé au cours de la
3122 négociation SSL standard lors de l'établissement d'une connexion. Dans
3123 un contexte de répertoire, elle force une renégociation SSL avec le
3124 niveau de vérification du client spécifié, après la lecture d'une
3125 requête HTTP, mais avant l'envoi de la réponse HTTP.</p>
3127 Les valeurs de <em>niveau</em> disponibles sont les suivantes :</p>
3129 <li><strong>none</strong>:
3130 aucun certificat client n'est requis</li>
3131 <li><strong>optional</strong>:
3132 le client <em>peut</em> présenter un certificat valide</li>
3133 <li><strong>require</strong>:
3134 le client <em>doit</em> présenter un certificat valide</li>
3135 <li><strong>optional_no_ca</strong>:
3136 le client peut présenter un certificat valide, mais il n'est pas
3137 nécessaire que ce dernier soit vérifiable (avec succès). Cette option ne
3138 peut pas être utilisée lors de l'authentification du client.</li>
3140 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLVerifyClient require</pre>
3144 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
3145 <div class="directive-section"><h2><a name="sslverifydepth" id="sslverifydepth">Directive</a> <a name="SSLVerifyDepth" id="SSLVerifyDepth">SSLVerifyDepth</a> <a title="Lien permanent" href="#sslverifydepth" class="permalink">¶</a></h2>
3146 <table class="directive">
3147 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Profondeur maximale des certificats de CA pour la
3148 vérification des certificats clients</td></tr>
3149 <tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLVerifyDepth <em>nombre</em></code></td></tr>
3150 <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLVerifyDepth 1</code></td></tr>
3151 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration globale, serveur virtuel, répertoire, .htaccess</td></tr>
3152 <tr><th><a href="directive-dict.html#Override">Surcharges autorisées:</a></th><td>AuthConfig</td></tr>
3153 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
3154 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
3157 Cette directive permet de spécifier la profondeur maximale à laquelle
3158 mod_ssl va effectuer sa vérification avant de décider que le client ne
3159 possède pas de certificat valide. Notez que cette directive peut être
3160 utilisée à la fois dans les contextes du serveur principal et de
3161 répertoire. Dans le contexte du serveur principal, elle s'applique au
3162 processus d'authentification du client utilisé au cours de la
3163 négociation SSL standard lors de l'établissement d'une connexion. Dans
3164 un contexte de répertoire, elle force une renégociation SSL avec la
3165 profondeur vérification du client spécifiée, après la lecture d'une
3166 requête HTTP, mais avant l'envoi de la réponse HTTP.</p>
3168 La profondeur correspond au nombre maximum de fournisseurs de
3169 certificats intermédiaires, c'est à dire le nombre maximum de
3170 certificats de CA que l'on est autorisé à suivre lors de la vérification
3171 du certificat du client. Une profondeur de 0 signifie que seuls les
3172 certificats clients auto-signés sont acceptés ; la profondeur par défaut
3173 de 1 signifie que le certificat client peut être soit auto-signé, soit
3174 signé par une CA connue directement du serveur (c'est à dire que le
3175 certificat de la CA doit être référencé par la directive <code class="directive"><a href="#sslcacertificatepath">SSLCACertificatePath</a></code>), etc...</p>
3176 <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLVerifyDepth 10</pre>
3181 <div class="bottomlang">
3182 <p><span>Langues Disponibles: </span><a href="../en/mod/mod_ssl.html" hreflang="en" rel="alternate" title="English"> en </a> |
3183 <a href="../es/mod/mod_ssl.html" hreflang="es" rel="alternate" title="Español"> es </a> |
3184 <a href="../fr/mod/mod_ssl.html" title="Français"> fr </a></p>
3185 </div><div class="top"><a href="#page-header"><img src="../images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our <a href="http://httpd.apache.org/lists.html">mailing lists</a>.</div>
3186 <script type="text/javascript"><!--//--><![CDATA[//><!--
3187 var comments_shortname = 'httpd';
3188 var comments_identifier = 'http://httpd.apache.org/docs/trunk/mod/mod_ssl.html';
3190 if (w.location.hostname.toLowerCase() == "httpd.apache.org") {
3191 d.write('<div id="comments_thread"><\/div>');
3192 var s = d.createElement('script');
3193 s.type = 'text/javascript';
3195 s.src = 'https://comments.apache.org/show_comments.lua?site=' + comments_shortname + '&page=' + comments_identifier;
3196 (d.getElementsByTagName('head')[0] || d.getElementsByTagName('body')[0]).appendChild(s);
3199 d.write('<div id="comments_thread">Comments are disabled for this page at the moment.<\/div>');
3201 })(window, document);
3202 //--><!]]></script></div><div id="footer">
3203 <p class="apache">Copyright 2019 The Apache Software Foundation.<br />Autorisé sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
3204 <p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!--
3205 if (typeof(prettyPrint) !== 'undefined') {