1 <?xml version="1.0" encoding="UTF-8" ?>
2 <!DOCTYPE manualpage SYSTEM "../style/manualpage.dtd">
3 <?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
4 <!-- English Revision: 1757280 -->
5 <!-- French translation : Lucien GENTIS -->
6 <!-- Reviewed by : Vincent Deffontaines -->
9 Licensed to the Apache Software Foundation (ASF) under one or more
10 contributor license agreements. See the NOTICE file distributed with
11 this work for additional information regarding copyright ownership.
12 The ASF licenses this file to You under the Apache License, Version 2.0
13 (the "License"); you may not use this file except in compliance with
14 the License. You may obtain a copy of the License at
16 http://www.apache.org/licenses/LICENSE-2.0
18 Unless required by applicable law or agreed to in writing, software
19 distributed under the License is distributed on an "AS IS" BASIS,
20 WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
21 See the License for the specific language governing permissions and
22 limitations under the License.
25 <manualpage metafile="ssl_howto.xml.meta">
26 <parentdocument href="./">SSL/TLS</parentdocument>
28 <title>Chiffrement fort SSL/TLS : Mode d'emploi</title>
32 <p>Ce document doit vous permettre de démarrer et de faire fonctionner
33 une configuration de base. Avant de vous lancer dans l'application de
34 techniques avancées, il est fortement recommandé de lire le reste
35 de la documentation SSL afin d'en comprendre le fonctionnement de
36 manière plus approfondie.</p>
39 <section id="configexample">
40 <title>Exemple de configuration basique</title>
42 <p>Votre configuration SSL doit comporter au moins les directives
45 <highlight language="config">
47 <VirtualHost *:443>
48 ServerName www.example.com
50 SSLCertificateFile "/path/to/www.example.com.cert"
51 SSLCertificateKeyFile "/path/to/www.example.com.key"
57 <section id="ciphersuites">
58 <title>Suites d'algorithmes de chiffrement et mise en oeuvre du chiffrement fort</title>
61 <p>Le "chiffrement fort est et a toujours été une cible mouvante. En outre, la
62 définition du terme "fort" dépend de l'utilisation que vous allez faire de votre
63 chiffrement, de vos modèles de menaces, et du niveau de risque que vous
64 considérez comme acceptable. L'équipe du serveur HTTP Apache ne peut donc pas
65 définir ce chiffrement fort à votre place.</p>
66 <p>Dans ce document dont la dernière mise à jour remonte à la mi-2016, une
67 "chiffrement fort" fait référence à une implémentation TLS qui fournit, en plus
68 d'une protection basique de la confidentialité, de l'intégrité et de
69 l'authenticité que tout utilisateur s'attend à trouver, toutes les
70 fonctionnalités suivantes :</p>
72 <li>Une confidentialité persistante (Forward Secrecy) parfaite qui garantie que
73 la découverte de la clé privée d'un serveur ne compromettra pas la
74 condidentialité des communications TLS passées.</li>
75 <li>Une protection contre les types d'attaque connus contre les anciennes
76 implémentations SSL et TLS comme <a
77 href="https://en.wikipedia.org/wiki/POODLE">POODLE</a> et <a
78 href="https://en.wikipedia.org/wiki/Transport_Layer_Security#BEAST_attack">BEAST</a>.</li>
79 <li>Le support des algorithmes de chiffrement les plus efficaces disponibles sur
80 les navigateurs web modernes (et à jour), ainsi que sur les autres clients HTTP.</li>
81 <li>Le <strong>Rejet</strong> des clients qui ne sont pas en mesure de respecter
82 ces prérequis. En d'autres termes, un "chiffrement fort" implique que les
83 clients obsolètes ne doivent pas avoir la possibilité de se connecter au serveur
84 afin de les empêcher de mettre en danger leurs utilisateurs. Vous seul(e) êtes
85 alors à même de décider si ce comportement est approprié à votre situation.</li>
87 <p>Notez cependant qu'un <em>chiffrement fort</em> ne suffit pas à lui seul pour
88 assurer un niveau de <em>securité</em> fort (A titre d'exemple, les attaques
89 oracle sur la compression HTTP comme <a
90 href="https://en.wikipedia.org/wiki/BREACH_(security_exploit)">BREACH</a>
91 peuvent nécessiter des actions supplémentaires pour être éradiquées).</p>
95 <li><a href="#onlystrong">Comment créer un serveur SSL
96 qui n'accepte que le chiffrement fort ?</a></li>
97 <li><a href="#strongurl">Comment créer un serveur qui accepte de nombreux types de
98 chiffrement en général, mais exige un chiffrement fort pour pouvoir
99 accéder à une URL particulière ?</a></li>
103 <section id="onlystrong">
104 <title>Comment créer un serveur SSL qui n'accepte
105 que le chiffrement fort ?</title>
106 <p>La configuration suivante active le "chiffrement fort" telle qu'il est
107 défini ci-dessus, et s'inspire du document de la Fondation Mozilla sur les
109 href="https://wiki.mozilla.org/Security/Server_Side_TLS">Server Side
112 <highlight language="config">
113 # Configuration "moderne" définie en août 2016 par le générateur de
114 # configuration SSL de la Fondation Mozilla. Ce dernier est disponible à
115 # https://mozilla.github.io/server-side-tls/ssl-config-generator/
116 SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
117 # De nombreux algorithmes de chiffrement définis ici nécessitent une version
118 # récente (1.0.1 ou plus) d'OpenSSL. Certains nécessitent même OpenSSL 1.1.0
119 # qui, à l'heure où ces lignes sont écrites, était encore en pre-release.
120 SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
121 SSLHonorCipherOrder on
123 SSLSessionTickets off
127 <li>SSL 3.0 et TLS 1.0 étant vulnérables à certaines attaques connues contre
128 le protocole, ils ont été entièrement retirés.</li>
129 <li>Actuellement (en août 2016), la désactivation de TLS 1.1 est facultative
130 ; TLS 1.2 fournit des options de chiffrement plus évoluées, mais la version
131 1.1 n'est pas encore considérée comme obsolète. La désactivation de TLS 1.1
132 peut cependant juguler des attaques contre certaines implémentations
133 dépassées de TLS.</li>
134 <li>La directive <directive module="mod_ssl">SSLHonorCipherOrder</directive>
135 permet de s'assurer que ce sont les préférences de chiffrement du serveur
136 qui seront suivies, et non celles du client.</li>
137 <li>La désactivation de <directive
138 module="mod_ssl">SSLCompression</directive> permet de prévenir les attaques
139 oracle sur la compression TLS (en autres <a
140 href="https://en.wikipedia.org/wiki/CRIME">CRIME</a>).</li>
141 <li>La désactivation de <directive
142 module="mod_ssl">SSLSessionTickets</directive> permet de s'assurer que la
143 qualité de la confidentialité persistante (Forward Secrecy) ne sera pas
144 compromise, même si le serveur n'est pas redémarré régulièrement.</li>
147 <p>C'est votre version d'OpenSSL installée qui détermine la liste des
148 algorithmes de chiffrement supportés par la directive <directive
149 module="mod_ssl">SSLCipherSuite</directive>, et non le serveur. Pour pouvoir
150 utiliser certains d'entre eux, vous devrez peut-être mettre à jour votre
151 version d'OpenSSL.</p>
154 <section id="strongurl">
155 <title>Comment créer un serveur qui accepte de nombreux types de
156 chiffrement en général, mais exige un chiffrement fort pour pouvoir
157 accéder à une URL particulière ?</title>
158 <p>Dans ce cas bien évidemment, une directive <directive
159 module="mod_ssl">SSLCipherSuite</directive> au niveau du serveur principal
160 qui restreint le choix des suites de chiffrement aux versions les plus
161 fortes ne conviendra pas. <module>mod_ssl</module> peut cependant être
162 reconfiguré au sein de blocs <code>Location</code> qui permettent
163 d'adapter la configuration générale à un répertoire spécifique ;
164 <module>mod_ssl</module> peut alors forcer automatiquement une
165 renégociation des paramètres SSL pour parvenir au but recherché.
166 Cette configuration peut se présenter comme suit :</p>
167 <highlight language="config">
168 # soyons très tolérant a priori -- utilisons la suite d'algorithmes de
169 # chiffrement "intermédiaire" de Mozilla (des suites plus légères peuvent aussi
170 # être utilisées mais ne seront pas documentées ici)
171 SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
173 <Location "/strong/area">
174 # sauf pour https://hostname/strong/area/ et ses sous-répertoires qui exigent
175 # des chiffrements forts
176 SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
181 <!-- /ciphersuites -->
183 <section id="ocspstapling">
184 <title>Agrafage OCSP</title>
186 <p>Le protocole de contrôle du statut des certificats en ligne (Online
187 Certificate Status Protocol - OCSP) est un mécanisme permettant de
188 déterminer si un certificat a été révoqué ou non, et l'agrafage OCSP en
189 est une fonctionnalité particulière par laquelle le serveur, par exemple
190 httpd et mod_ssl, maintient une liste des réponses OCSP actuelles pour
191 ses certificats et l'envoie aux clients qui communiquent avec lui. La
192 plupart des certificats contiennent l'adresse d'un répondeur OCSP maintenu
193 par l'Autorité de Certification (CA) spécifiée, et mod_ssl peut requérir
194 ce répondeur pour obtenir une réponse signée qui peut être envoyée aux
195 clients qui communiquent avec le serveur.</p>
197 <p>L'agrafage OCSP est la méthode la plus performante pour obtenir le
198 statut d'un certificat car il est disponible au niveau du serveur, et le
199 client n'a donc pas besoin d'ouvrir une nouvelle connexion vers
200 l'autorité de certification. Autres avantages de l'absence de
201 communication entre le client et l'autorité de certification :
202 l'autorité de certification n'a pas accès à l'historique de navigation
203 du client, et l'obtention du statut du certificat est plus efficace car
204 elle n'est plus assujettie à une surcharge éventuelle des serveurs de
205 l'autorité de certification.</p>
207 <p>La charge du serveur est moindre car la réponse qu'il a obtenu du
208 répondeur OCSP peut être réutilisée par tous les clients qui utilisent
209 le même certificat dans la limite du temps de validité de la réponse.</p>
211 <p>Une fois le support général SSL correctement configuré, l'activation
212 de l'agrafage OCSP ne requiert que des modifications mineures
213 à la configuration de httpd et il suffit en général de l'ajout de ces
214 deux directives :</p>
216 <highlight language="config">
218 SSLStaplingCache "shmcb:ssl_stapling(32768)"
221 <p>Ces directives sont placées de façon à ce qu'elles aient une portée
222 globale (et particulièrement en dehors de toute section VirtualHost), le
223 plus souvent où sont placées les autres directives de configuration
224 globales SSL, comme <code>conf/extra/httpd-ssl.conf</code> pour les
225 installations de httpd à partir des sources, ou
226 <code>/etc/apache2/mods-enabled/ssl.conf</code> pour Ubuntu ou Debian,
229 <p>Cette directive <directive>SSLStaplingCache</directive> particulière
230 nécessite le chargement du module <module>mod_socache_shmcb</module> (à
231 cause du préfixe <code>shmcb</code> de son argument). Ce module est en
232 général déjà activé pour la directive
233 <directive>SSLSessionCache</directive>, ou pour des modules autres que
234 <module>mod_ssl</module>. Si vous activez un cache de session SSL
235 utilisant un mécanisme autre que <module>mod_socache_shmcb</module>,
236 utilisez aussi ce mécanisme alternatif pour la directive
237 <directive>SSLStaplingCache</directive>. Par exemple :</p>
239 <highlight language="config">
240 SSLSessionCache "dbm:ssl_scache"
241 SSLStaplingCache "dbm:ssl_stapling"
244 <p>Vous pouvez utiliser la commande openssl pour vérifier que votre
245 serveur envoie bien une réponse OCSP :</p>
248 $ openssl s_client -connect www.example.com:443 -status -servername www.example.com
251 ======================================
253 OCSP Response Status: successful (0x0)
254 Response Type: Basic OCSP Response
260 <p>Les sections suivantes explicitent les situations courantes qui
261 requièrent des modifications supplémentaires de la configuration. Vous
262 pouvez aussi vous référer au manuel de référence de
263 <module>mod_ssl</module>.</p>
266 <title>Si l'on utilise plus que quelques certificats SSL pour le serveur</title>
267 <p>Les réponses OCSP sont stockées dans le cache d'agrafage SSL. Alors
268 que les réponses ont une taille de quelques centaines à quelques
269 milliers d'octets, mod_ssl supporte des réponses d'une taille jusqu'à
270 environ 10 ko. Dans notre cas, le nombre de certificats est conséquent
271 et la taille du cache (32768 octets dans l'exemple ci-dessus) doit être
272 augmentée. En cas d'erreur lors du stockage d'une réponse, le
273 message AH01929 sera enregistré dans le journal.</p>
277 <title>Si le certificat ne spécifie pas de répondeur OCSP, ou si une
278 adresse différente doit être utilisée</title>
279 <p>Veuillez vous référer à la documentation de la directive <directive
280 module="mod_ssl">SSLStaplingForceURL</directive>.</p>
282 <p>Vous pouvez vérifier si un certificat spécifie un répondeur OCSP en
283 utilisant la commande openssl comme suit :</p>
286 $ openssl x509 -in ./www.example.com.crt -text | grep 'OCSP.*http'
287 OCSP - URI:http://ocsp.example.com
290 <p>Si un URI OCSP est fourni et si le serveur web peut communiquer
291 directement avec lui sans passer par un mandataire, aucune modification
292 supplémentaire de la configuration n'est requise. Notez que les règles
293 du pare-feu qui contrôlent les connexions sortantes en provenance du
294 serveur web devront peut-être subir quelques ajustements.</p>
296 <p>Si aucun URI OCSP n'est fourni, contactez votre autorité de
297 certification pour savoir s'il en existe une ; si c'est le
298 cas, utilisez la directive <directive
299 module="mod_ssl">SSLStaplingForceURL</directive> pour la spécifier dans
300 la configuration du serveur virtuel qui utilise le certificat.</p>
304 <title>Si plusieurs serveurs virtuels sont configurés pour utiliser SSL
305 et si l'agrafage OCSP doit être désactivé pour certains d'entre eux</title>
307 <p>Ajoutez la directive <code>SSLUseStapling Off</code> à la
308 configuration des serveurs virtuels pour lesquels l'agrafage OCSP doit
313 <title>Si le répondeur OCSP est lent ou instable</title>
314 <p>De nombreuses directives permettent de gérer les temps de réponse et
315 les erreurs. Référez-vous à la documentation de <directive
316 module="mod_ssl">SSLStaplingFakeTryLater</directive>, <directive
317 module="mod_ssl">SSLStaplingResponderTimeout</directive>, et <directive
318 module="mod_ssl">SSLStaplingReturnResponderErrors</directive>.</p>
322 <title>Si mod_ssl enregistre l'erreur AH02217 dans le journal</title>
324 AH02217: ssl_stapling_init_cert: Can't retrieve issuer certificate!
326 <p>Afin de pouvoir supporter l'agrafage OCSP lorsqu'un certificat de
327 serveur particulier est utilisé, une chaîne de certification pour ce
328 certificat doit être spécifiée. Si cela n'a pas été fait lors de
329 l'activation de SSL, l'erreur AH02217 sera enregistrée lorsque
330 l'agrafage OCSP sera activé, et les clients qui utilisent le certificat
331 considéré ne recevront pas de réponse OCSP.</p>
333 <p>Veuillez vous référer à la documentation des directives <directive
334 module="mod_ssl">SSLCertificateChainFile</directive> et <directive
335 module="mod_ssl">SSLCertificateFile</directive> pour spécifier une
336 chaîne de certification.</p>
340 <!-- /ocspstapling -->
343 <section id="accesscontrol">
344 <title>Authentification du client et contrôle d'accès</title>
346 <li><a href="#allclients">Comment forcer les clients
347 à s'authentifier à l'aide de certificats ?</a></li>
348 <li><a href="#arbitraryclients">Comment forcer les clients
349 à s'authentifier à l'aide de certificats pour une URL particulière,
350 mais autoriser quand-même tout client anonyme
351 à accéder au reste du serveur ?</a></li>
352 <li><a href="#certauthenticate">Comment n'autoriser l'accès à une URL
353 particulière qu'aux clients qui possèdent des certificats, mais autoriser
354 l'accès au reste du serveur à tous les clients ?</a></li>
355 <li><a href="#intranet">Comment imposer HTTPS avec chiffrements forts,
356 et soit authentification de base, soit possession de certificats clients,
357 pour l'accès à une partie de l'Intranet, pour les clients en
358 provenance de l'Internet ?</a></li>
361 <section id="allclients">
362 <title>Comment forcer les clients
363 à s'authentifier à l'aide de certificats ?
366 <p>Lorsque vous connaissez tous vos clients (comme c'est en général le cas
367 au sein d'un intranet d'entreprise), vous pouvez imposer une
368 authentification basée uniquement sur les certificats. Tout ce dont vous
369 avez besoin pour y parvenir est de créer des certificats clients signés par
370 le certificat de votre propre autorité de certification
371 (<code>ca.crt</code>), et d'authentifier les clients à l'aide de ces
373 <highlight language="config">
374 # exige un certificat client signé par le certificat de votre CA
375 # contenu dans ca.crt
376 SSLVerifyClient require
378 SSLCACertificateFile "conf/ssl.crt/ca.crt"
382 <section id="arbitraryclients">
383 <title>Comment forcer les clients
384 à s'authentifier à l'aide de certificats pour une URL particulière,
385 mais autoriser quand-même tout client anonyme
386 à accéder au reste du serveur ?</title>
388 <p>Pour forcer les clients à s'authentifier à l'aide de certificats pour une
389 URL particulière, vous pouvez utiliser les fonctionnalités de reconfiguration
390 de <module>mod_ssl</module> en fonction du répertoire :</p>
392 <highlight language="config">
394 SSLCACertificateFile "conf/ssl.crt/ca.crt"
396 <Location "/secure/area">
397 SSLVerifyClient require
403 <section id="certauthenticate">
404 <title>Comment n'autoriser l'accès à une URL
405 particulière qu'aux clients qui possèdent des certificats, mais autoriser
406 l'accès au reste du serveur à tous les clients ?</title>
408 <p>La clé du problème consiste à vérifier si une partie du certificat
409 client correspond à ce que vous attendez. Cela signifie en général
410 consulter tout ou partie du nom distinctif (DN), afin de vérifier s'il
411 contient une chaîne connue. Il existe deux méthodes pour y parvenir ;
412 on utilise soit le module <module>mod_auth_basic</module>, soit la
413 directive <directive module="mod_ssl">SSLRequire</directive>.</p>
415 <p>La méthode du module <module>mod_auth_basic</module> est en général
416 incontournable lorsque les certificats ont un contenu arbitraire, ou
417 lorsque leur DN ne contient aucun champ connu
418 (comme l'organisation, etc...). Dans ce cas, vous devez construire une base
419 de données de mots de passe contenant <em>tous</em> les clients
420 autorisés, comme suit :</p>
422 <highlight language="config">
424 SSLCACertificateFile "conf/ssl.crt/ca.crt"
425 SSLCACertificatePath "conf/ssl.crt"
427 <Directory "/usr/local/apache2/htdocs/secure/area">
428 SSLVerifyClient require
430 SSLOptions +FakeBasicAuth
432 AuthName "Snake Oil Authentication"
434 AuthBasicProvider file
435 AuthUserFile "/usr/local/apache2/conf/httpd.passwd"
441 <p>Le mot de passe utilisé dans cet exemple correspond à la chaîne de
442 caractères "password" chiffrée en DES. Voir la documentation de la
443 directive <directive module="mod_ssl">SSLOptions</directive> pour
446 <example><title>httpd.passwd</title><pre>
447 /C=DE/L=Munich/O=Snake Oil, Ltd./OU=Staff/CN=Foo:xxj31ZMTZzkVA
448 /C=US/L=S.F./O=Snake Oil, Ltd./OU=CA/CN=Bar:xxj31ZMTZzkVA
449 /C=US/L=L.A./O=Snake Oil, Ltd./OU=Dev/CN=Quux:xxj31ZMTZzkVA</pre>
452 <p>Lorsque vos clients font tous partie d'une même hiérarchie, ce qui
453 apparaît dans le DN, vous pouvez les authentifier plus facilement en
454 utilisant la directive <directive module="mod_ssl"
455 >SSLRequire</directive>, comme suit :</p>
458 <highlight language="config">
460 SSLCACertificateFile "conf/ssl.crt/ca.crt"
461 SSLCACertificatePath "conf/ssl.crt"
463 <Directory "/usr/local/apache2/htdocs/secure/area">
464 SSLVerifyClient require
466 SSLOptions +FakeBasicAuth
468 SSLRequire %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd." \
469 and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"}
474 <section id="intranet">
475 <title>Comment imposer HTTPS avec chiffrements forts,
476 et soit authentification de base, soit possession de certificats clients,
477 pour l'accès à une partie de l'Intranet, pour les clients en
478 provenance de l'Internet ? Je souhaite quand-même autoriser l'accès en HTTP
479 aux clients de l'intranet.</title>
481 <p>On suppose dans ces exemples que les clients de l'intranet ont des
482 adresses IP dans la gamme 192.168.1.0/24, et que la partie de l'intranet
483 à laquelle vous voulez autoriser l'accès depuis l'Internet est
484 <code>/usr/local/apache2/htdocs/subarea</code>. Ces lignes de configuration
485 doivent se trouver en dehors de votre hôte virtuel HTTPS, afin qu'elles
486 s'appliquent à la fois à HTTP et HTTPS.</p>
488 <highlight language="config">
489 SSLCACertificateFile "conf/ssl.crt/company-ca.crt"
491 <Directory "/usr/local/apache2/htdocs">
492 # En dehors de subarea, seul l'accès depuis l'intranet est
494 Require ip 192.168.1.0/24
497 <Directory "/usr/local/apache2/htdocs/subarea">
498 # Dans subarea, tout accès depuis l'intranet est autorisé
499 # mais depuis l'Internet, seul l'accès par HTTPS + chiffrement fort + Mot de passe
500 # ou HTTPS + chiffrement fort + certificat client n'est autorisé.
502 # Si HTTPS est utilisé, on s'assure que le niveau de chiffrement est fort.
503 # Autorise en plus les certificats clients comme une alternative à
504 # l'authentification basique.
505 SSLVerifyClient optional
507 SSLOptions +FakeBasicAuth +StrictRequire
508 SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128
510 # ON oblige les clients venant d'Internet à utiliser HTTPS
512 RewriteCond "%{REMOTE_ADDR}" "!^192\.168\.1\.[0-9]+$"
513 RewriteCond "%{HTTPS}" "!=on"
514 RewriteRule "." "-" [F]
516 # On permet l'accès soit sur les critères réseaux, soit par authentification Basique
519 # Contrôle d'accès réseau
520 Require ip 192.168.1.0/24
522 # Configuration de l'authentification HTTP Basique
524 AuthName "Protected Intranet Area"
525 AuthBasicProvider file
526 AuthUserFile "conf/protected.passwd"
532 <!-- /access control -->
534 <section id="logging">
535 <title>Journalisation</title>
537 <p><module>mod_ssl</module> peut enregistrer des informations de
538 débogage très verbeuses dans le journal des erreurs, lorsque sa
539 directive <directive module="core">LogLevel</directive> est définie
540 à des niveaux de trace élevés. Par contre, sur un serveur très
541 sollicité, le niveau <code>info</code> sera probablement déjà trop
542 élevé. Souvenez-vous que vous pouvez configurer la directive
543 <directive module="core">LogLevel</directive> par module afin de
544 pourvoir à vos besoins.</p>