<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1781580 -->
+<!-- English Revision: 1828059 -->
<!-- French translation : Lucien GENTIS -->
+<!-- Reviewed by : Vincent Deffontaines -->
<!--
Licensed to the Apache Software Foundation (ASF) under one or more
<p><em>x509</em> spécifie un élément de DN X.509 parmi
<code>C,ST,L,O,OU,CN,T,I,G,S,D,UID,Email</code>. A partir de la version
-2.1 d'Apache, <em>x509</em> peut aussi comporter un suffixe numérique
+2.2.0 de httpd, <em>x509</em> peut aussi comporter un suffixe numérique
<code>_n</code>. Si le DN en question comporte plusieurs attributs de
noms identiques, ce suffixe constitue un index débutant à zéro et
permettant de sélectionner un
autrement dit, aucune entrée possédant comme suffixe <code>_0</code>
n'est enregistrée.</p>
+<p>Depuis la version 2.5.0 de httpd, il est possible d'ajouter le suffixe
+<em>_RAW</em> à <em>x509</em> dans un élément DN afin d'éviter la conversion en
+UTF-8 de la valeur de l'attribut. Il doit être placé après le suffixe index
+(s'il existe), par exemple <code>SSL_SERVER_S_DN_OU_RAW</code> ou
+<code>SSL_SERVER_S_DN_OU_0_RAW</code>.</p>
+
<p>Le format des variables <em>*_DN</em> a changé depuis la version
2.3.11 d'Apache HTTPD. Voir l'option <code>LegacyDNStringFormat</code>
de la directive <directive module="mod_ssl">SSLOptions</directive> pour
</ul>
<example><title>Exemple</title>
<highlight language="config">
-SSLPassPhraseDialog exec:/usr/local/apache/sbin/pp-filter
+SSLPassPhraseDialog "exec:/usr/local/apache/sbin/pp-filter"
</highlight>
</example>
</usage>
<example><title>Exemple</title>
<highlight language="config">
SSLRandomSeed startup builtin
-SSLRandomSeed startup file:/dev/random
-SSLRandomSeed startup file:/dev/urandom 1024
-SSLRandomSeed startup exec:/usr/local/bin/truerand 16
+SSLRandomSeed startup "file:/dev/random"
+SSLRandomSeed startup "file:/dev/urandom" 1024
+SSLRandomSeed startup "exec:/usr/local/bin/truerand" 16
SSLRandomSeed connect builtin
-SSLRandomSeed connect file:/dev/random
-SSLRandomSeed connect file:/dev/urandom 1024
+SSLRandomSeed connect "file:/dev/random"
+SSLRandomSeed connect "file:/dev/urandom" 1024
</highlight>
</example>
</usage>
<example><title>Exemples</title>
<highlight language="config">
-SSLSessionCache dbm:/usr/local/apache/logs/ssl_gcache_data
-SSLSessionCache shmcb:/usr/local/apache/logs/ssl_gcache_data(512000)
+SSLSessionCache "dbm:/usr/local/apache/logs/ssl_gcache_data"
+SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_gcache_data(512000)"
</highlight>
</example>
<default>SSLEngine off</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
+<compatibility>Le paramètre <code>addr:port</code> est disponible à partir de la
+version 2.4.30 du serveur HTTP Apache.</compatibility>
<usage>
-<p>
-Cette directive permet d'activer/désactiver le moteur du protocole
-SSL/TLS. Elle doit être utilisée dans une section <directive
-module="core" type="section">VirtualHost</directive> pour activer
-SSL/TLS pour ce serveur virtuel particulier. Par défaut, le moteur du
-protocole SSL/TLS est désactivé pour le serveur principal et tous les
-serveurs virtuels configurés.</p>
+<p> Cette directive permet d'activer/désactiver le moteur du protocole SSL/TLS.
+Elle doit être définie dans une section
+<directive module="core" type="section">VirtualHost</directive> pour activer
+SSL/TLS pour ce serveur virtuel particulier. Par défaut, le moteur du protocole
+SSL/TLS est désactivé pour le serveur principal et tous les serveurs virtuels
+configurés.</p>
<example><title>Exemple</title>
<highlight language="config">
<VirtualHost _default_:443>
</VirtualHost>
</highlight>
</example>
-<p>Depuis la version 2.1 d'Apache, la directive
-<directive>SSLEngine</directive> peut être définie à
-<code>optional</code>, ce qui active le support de <a
-href="http://www.ietf.org/rfc/rfc2817.txt">RFC 2817</a>, Upgrading to
-TLS Within HTTP/1.1. Pour le moment, aucun navigateur web ne supporte
-RFC 2817.</p>
+<p><directive>SSLEngine</directive> peut être définie à <code>optional</code>,
+ce qui active le support de <a href="http://www.ietf.org/rfc/rfc2817.txt">RFC
+2817</a>.
+</p>
</usage>
</directivesynopsis>
Une révision du protocole TLS 1.1 définie dans la <a
href="http://www.ietf.org/rfc/rfc5246.txt">RFC 5246</a>.</p></li>
+<li><code>TLSv1.3</code> (avec OpenSSL version 1.1.1 et supérieures)
+ <p>
+ Une nouvelle version du protocole TLS définie dans la <a
+ href="https://github.com/tlswg/tls13-spec">RFC TBD</a>.</p></li>
+
<li><code>all</code>
<p>
C'est un raccourci pour ``<code>+SSLv3 +TLSv1</code>'' ou - à partir
<name>SSLCipherSuite</name>
<description>Algorithmes de chiffrement disponibles pour la négociation
au cours de l'initialisation de la connexion SSL</description>
-<syntax>SSLCipherSuite <em>algorithmes</em></syntax>
+<syntax>SSLCipherSuite [<em>protocol</em>] <em>cipher-spec</em></syntax>
<default>SSLCipherSuite DEFAULT (dépend de la version d'OpenSSL
installée)</default>
<contextlist><context>server config</context>
<usage>
<p>
-Cette directive complexe utilise la chaîne <em>algorithmes</em>
+Cette directive complexe utilise la chaîne <em>cipher-spec</em>
contenant la liste des algorithmes de chiffrement OpenSSL que le client
-peut utiliser au cours de la phase d'initialisation de la connexion SSL.
+peut utiliser au cours de la phase d'initialisation de la connexion SSL. La
+spécification optionnelle du protocole permet de configurer la suite
+d'algorithmes de chiffrement pour une version spécifique de SSL. Une des valeurs
+possibles est "SSL" pour toutes les versions du protocole SSL jusqu'à TLSv1.2
+compris.
+</p>
+<p>
Notez que cette directive peut être utilisée aussi bien dans un contexte
de serveur que dans un contexte de répertoire. Dans un contexte de
serveur, elle s'applique à l'initialisation SSL standard lorsqu'une
connexion est établie. Dans un contexte de répertoire, elle force une
renégociation SSL avec la liste d'algorithmes de chiffrement spécifiée
après la lecture d'une requête HTTP, mais avant l'envoi de la réponse
-HTTP.</p>
+HTTP (et pas avant que la renégociation soit effectuée).</p>
+<p>
+Si la bibliothèque SSL supporte TLSv1.3 (versions d'OpenSSL 1.1.1 et
+supérieures), il est possible de spécifier le paramètre "TLSv1.3" pour
+configurer la suite d'algorithmes de chiffrement pour ce protocole. Comme
+TLSv1.3 n'autorise pas la renégociation, spécifier pour lui des algorithmes de
+chiffrement dans un contexte de répertoire n'est pas autorisé</p>
+<p>
+Pour obtenir la liste des noms d'algorithmes de chiffrement pour TLSv1.3, se
+référer à la <a
+href="https://www.openssl.org/docs/manmaster/man3/SSL_CTX_set_ciphersuites.html">the
+OpenSSL documentation</a>.</p>
<p>
La liste d'algorithmes de chiffrement SSL spécifiée par l'argument
-<em>algorithmes</em> comporte quatre attributs principaux auxquels
+<em>cipher-spec</em> comporte quatre attributs principaux auxquels
s'ajoutent quelques attributs secondaires :</p>
<ul>
<li><em>Algorithme d'échange de clés</em>:<br />
<example><title>Exemple</title>
<highlight language="config">
-SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt
+SSLCertificateFile "/usr/local/apache2/conf/ssl.crt/server.crt"
</highlight>
</example>
</usage>
<example><title>Exemple</title>
<highlight language="config">
-SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key
+SSLCertificateKeyFile "/usr/local/apache2/conf/ssl.key/server.key"
</highlight>
</example>
</usage>
navigateurs.</p>
<example><title>Exemple</title>
<highlight language="config">
-SSLCertificateChainFile /usr/local/apache2/conf/ssl.crt/ca.crt
+SSLCertificateChainFile "/usr/local/apache2/conf/ssl.crt/ca.crt"
</highlight>
</example>
</usage>
<syntax>SSLCACertificatePath <em>chemin-répertoire</em></syntax>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
+<override>AuthConfig</override>
<usage>
<p>
assurer que ce répertoire contient les liens symboliques appropriés.</p>
<example><title>Exemple</title>
<highlight language="config">
-SSLCACertificatePath /usr/local/apache2/conf/ssl.crt/
+SSLCACertificatePath "/usr/local/apache2/conf/ssl.crt/"
</highlight>
</example>
</usage>
<syntax>SSLCACertificateFile <em>chemin-fichier</em></syntax>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
+<override>AuthConfig</override>
<usage>
<p>
module="mod_ssl">SSLCACertificatePath</directive>.</p>
<example><title>Exemple</title>
<highlight language="config">
-SSLCACertificateFile /usr/local/apache2/conf/ssl.crt/ca-bundle-client.crt
+SSLCACertificateFile "/usr/local/apache2/conf/ssl.crt/ca-bundle-client.crt"
</highlight>
</example>
</usage>
<example><title>Exemple</title>
<highlight language="config">
-SSLCADNRequestFile /usr/local/apache2/conf/ca-names.crt
+SSLCADNRequestFile "/usr/local/apache2/conf/ca-names.crt"
</highlight>
</example>
</usage>
assurer que ce répertoire contient les liens symboliques appropriés.</p>
<example><title>Exemple</title>
<highlight language="config">
-SSLCADNRequestPath /usr/local/apache2/conf/ca-names.crt/
+SSLCADNRequestPath "/usr/local/apache2/conf/ca-names.crt/"
</highlight>
</example>
</usage>
assurer que ce répertoire contient les liens symboliques appropriés.</p>
<example><title>Exemple</title>
<highlight language="config">
-SSLCARevocationPath /usr/local/apache2/conf/ssl.crl/
+SSLCARevocationPath "/usr/local/apache2/conf/ssl.crl/"
</highlight>
</example>
</usage>
module="mod_ssl">SSLCARevocationPath</directive>.</p>
<example><title>Exemple</title>
<highlight language="config">
-SSLCARevocationFile /usr/local/apache2/conf/ssl.crl/ca-bundle-client.crl
+SSLCARevocationFile "/usr/local/apache2/conf/ssl.crl/ca-bundle-client.crl"
</highlight>
</example>
</usage>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<compatibility>Le paramètre optionnel <em>flag</em>s est disponible à partir de
-la version 2.5 du serveur HTTP Apache</compatibility>
+la version 2.4.21 du serveur HTTP Apache</compatibility>
<usage>
<p>
<module>mod_auth_basic</module> permet de contrôler à la
fois le nom d'utilisateur et le mot de passe ; elle fournit donc un
mécanisme plus général de simulation d'authentification de base.</p>
+
+ <note type="warning">
+ <p>Les noms d'utilisateur pour <code>FakeBasicAuth</code> ne doivent pas
+ contenir de caractères non-ASCII, de caractères d'échappement ASCII (comme
+ newline), ou de caractère ':'. A partir de la version 2.5.1 de httpd, si
+ un caractère ':' est rencontré, une erreur 403 Forbidden sera générée.</p>
+ </note>
</li>
<li><code>StrictRequire</code>
<p>
<syntax>SSLProxyMachineCertificatePath <em>chemin-répertoire</em></syntax>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Sans objet</override>
<usage>
<p>
et certificats permettant au serveur mandataire de s'authentifier auprès
des serveurs distants.
</p>
-<p>Les fichiers de ce répertoire doivent être codés en PEM et ils sont
-accédés via des noms de fichier sous forme de condensés ou hash. Vous
-devez donc aussi créer des liens symboliques nommés
-<em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous
-assurer que ce répertoire contient les liens symboliques appropriés.</p>
+<p>mod_ssl va essayer de charger tous les fichiers contenus dans le répertoire
+spécifié, mais en ignorera les éventuels sous-répertoires. Chaque fichier doit
+contenir un certificat codé au format PEM ainsi que la clé privée
+correspondante.</p>
<note type="warning">
<p>Actuellement, les clés privées chiffrées ne sont pas supportées.</p>
</note>
<example><title>Exemple</title>
<highlight language="config">
-SSLProxyMachineCertificatePath /usr/local/apache2/conf/proxy.crt/
+SSLProxyMachineCertificatePath "/usr/local/apache2/conf/proxy.crt/"
</highlight>
</example>
</usage>
<syntax>SSLProxyMachineCertificateFile <em>chemin-fichier</em></syntax>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Sans objet</override>
<usage>
<p>
</note>
<example><title>Exemple</title>
<highlight language="config">
-SSLProxyMachineCertificateFile /usr/local/apache2/conf/ssl.crt/proxy.pem
+SSLProxyMachineCertificateFile "/usr/local/apache2/conf/ssl.crt/proxy.pem"
</highlight>
</example>
</usage>
<syntax>SSLProxyMachineCertificateChainFile <em>nom-fichier</em></syntax>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Sans objet</override>
<usage>
<p>
</note>
<example><title>Exemple</title>
<highlight language="config">
-SSLProxyMachineCertificateChainFile /usr/local/apache2/conf/ssl.crt/proxyCA.pem
+SSLProxyMachineCertificateChainFile
+"/usr/local/apache2/conf/ssl.crt/proxyCA.pem"
</highlight>
</example>
</usage>
<default>SSLProxyVerify none</default>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Not applicable</override>
<usage>
<default>SSLProxyVerifyDepth 1</default>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Not applicable</override>
<usage>
<p>
<default>SSLProxyCheckPeerExpire on</default>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Not applicable</override>
<usage>
<p>
<default>SSLProxyCheckPeerCN on</default>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Not applicable</override>
<usage>
<p>
<default>SSLProxyCheckPeerName on</default>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Not applicable</override>
<compatibility>Disponible à partir de la version 2.4.5 du serveur HTTP
Apache</compatibility>
<default>SSLProxyEngine off</default>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Not applicable</override>
<usage>
<p>
<default>SSLProxyProtocol all -SSLv3</default>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Not applicable</override>
<usage>
<!-- XXX Why does this have an override and not .htaccess context? -->
<name>SSLProxyCipherSuite</name>
<description>Algorithmes de chiffrement disponibles pour la négociation
lors de l'initialisation d'une connexion SSL de mandataire</description>
-<syntax>SSLProxyCipherSuite <em>algorithmes</em></syntax>
+<syntax>SSLProxyCipherSuite [<em>protocol</em>] <em>cipher-spec</em></syntax>
<default>SSLProxyCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP</default>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Not applicable</override>
<usage>
<p>Cette directive est équivalente à la directive <directive
<syntax>SSLProxyCACertificatePath <em>chemin-répertoire</em></syntax>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Not applicable</override>
<usage>
<p>
assurer que ce répertoire contient les liens symboliques appropriés.</p>
<example><title>Exemple</title>
<highlight language="config">
-SSLProxyCACertificatePath /usr/local/apache2/conf/ssl.crt/
+SSLProxyCACertificatePath "/usr/local/apache2/conf/ssl.crt/"
</highlight>
</example>
</usage>
<syntax>SSLProxyCACertificateFile <em>file-path</em></syntax>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Not applicable</override>
<usage>
<p>
<example><title>Exemple</title>
<highlight language="config">
SSLProxyCACertificateFile
-/usr/local/apache2/conf/ssl.crt/ca-bundle-serveur.distant.crt
+"/usr/local/apache2/conf/ssl.crt/ca-bundle-serveur.distant.crt"
</highlight>
</example>
</usage>
<syntax>SSLProxyCARevocationPath <em>chemin-répertoire</em></syntax>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Not applicable</override>
<usage>
<p>
assurer que ce répertoire contient les liens symboliques appropriés.</p>
<example><title>Exemple</title>
<highlight language="config">
-SSLProxyCARevocationPath /usr/local/apache2/conf/ssl.crl/
+SSLProxyCARevocationPath "/usr/local/apache2/conf/ssl.crl/"
</highlight>
</example>
</usage>
<syntax>SSLProxyCARevocationFile <em>chemin-fichier</em></syntax>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Not applicable</override>
<usage>
<p>
<example><title>Exemple</title>
<highlight language="config">
SSLProxyCARevocationFile
-/usr/local/apache2/conf/ssl.crl/ca-bundle-serveur.distant.crl
+"/usr/local/apache2/conf/ssl.crl/ca-bundle-serveur.distant.crl"
</highlight>
</example>
</usage>
<default>SSLProxyCARevocationCheck none</default>
<contextlist><context>server config</context> <context>virtual host</context>
<context>proxy section</context></contextlist>
-<override>Not applicable</override>
<usage>
<p>
<name>SSLOCSPEnable</name>
<description>Active la validation OCSP de la chaîne de certificats du
client</description>
-<syntax>SSLOCSPEnable on|off</syntax>
+<syntax>SSLOCSPEnable on|leaf|off</syntax>
<default>SSLOCSPEnable off</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
certificats du client. Si elle est activée, les certificats de la chaîne
de certificats du client seront validés auprès d'un répondeur OCSP, une
fois la vérification normale effectuée (vérification des CRLs
-incluse).</p>
+incluse). En mode 'leaf', seul le certificat du client sera validé.</p>
<p>Le répondeur OCSP utilisé est soit extrait du certificat lui-même,
soit spécifié dans la configuration ; voir les directives <directive
<highlight language="config">
SSLVerifyClient on
SSLOCSPEnable on
-SSLOCSPDefaultResponder http://responder.example.com:8888/responder
+SSLOCSPDefaultResponder "http://responder.example.com:8888/responder"
SSLOCSPOverrideResponder on
</highlight>
</example>
<default>SSLOCSPNoverify Off</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
-<compatibility>Disponible à partir de la version 2.5 du serveur HTTP Apache,
+<compatibility>Disponible à partir de la version 2.4.26 du serveur HTTP Apache,
sous réserve d'utiliser une version 0.9.7 ou supérieure d'OpenSSL</compatibility>
<usage>
<p>Cette directive permet d'éviter la vérification des certificats
<syntax>SSLOCSPResponderCertificateFile <em>file</em></syntax>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
-<compatibility>Disponible à partir de la version 2.5 du serveur HTTP Apache,
+<compatibility>Disponible à partir de la version 2.4.26 du serveur HTTP Apache,
sous réserve d'utiliser une version 0.9.7 ou supérieure d'OpenSSL</compatibility>
<usage>
<p>Cette directive permet de définir un fichier contenant une liste de
<highlight language="config">
SSLOpenSSLConfCmd Options -SessionTicket,ServerPreference
SSLOpenSSLConfCmd ECDHParameters brainpoolP256r1
-SSLOpenSSLConfCmd ServerInfoFile /usr/local/apache2/conf/server-info.pem
+SSLOpenSSLConfCmd ServerInfoFile "/usr/local/apache2/conf/server-info.pem"
SSLOpenSSLConfCmd Protocol "-ALL, TLSv1.2"
SSLOpenSSLConfCmd SignatureAlgorithms RSA+SHA384:ECDSA+SHA256
</highlight>
</usage>
</directivesynopsis>
+<directivesynopsis>
+<name>SSLPolicy</name>
+<description>Applique une politique SSL en la référençant par son nom</description>
+<syntax>SSLPolicy <em>name</em></syntax>
+<contextlist><context>server config</context>
+<context>virtual host</context></contextlist>
+<compatibility>Disponible à partir de la version 2.4.30 du serveur HTTP Apache</compatibility>
+
+<usage>
+<p>Cette directive permet d'appliquer le jeu de directives définies au sein
+de la polique SSL de nom 'name' comme configuration <em>de base</em> dans
+le contexte courant. Apache httpd est fourni avec les politiques SSL prédéfinies
+suivantes de Mozilla, l'éditeur du navigateur Firefox (<a
+href="https://wiki.mozilla.org/Security/Server_Side_TLS#Recommended_configurations">description
+détaillée</a>) :
+</p>
+<ul>
+ <li><code>modern</code>: recommandé lorsque votre serveur est accessible
+ depuis internet, fonctionne avec tous les navigateurs modernes, mais les
+ anciens navigateurs peuvent avoir des difficultés pour se connecter.</li>
+ <li><code>intermediate</code>: version dégradée si vous devez supporter les
+ vieux clients (mais pas trop vieux).</li>
+ <li><code>old</code>: lorsque vous voulez donner accès à IE6 sous Windows XP
+ (ultime recours).</li>
+</ul>
+
+<p>La directive SSLPolicy s'applique à l'endroit où elle est définie, ce qui
+signifie que des valeurs définies évntuellement au préalable sont écrasées, et
+bien entendu que cette même directive peut être écrasée par d'éventuelles
+directives définies plus loin dans le fichier de configuration.</p>
+
+<p>Vous pouvez obtenir une description détaillée de toutes les politiques
+prédéfinies via la commande :</p>
+<example><title>Liste de toutes les politiques SSL prédéfinies</title>
+<highlight language="sh">
+httpd -t -D DUMP_SSL_POLICIES
+</highlight>
+</example>
+
+</usage>
+</directivesynopsis>
+
+
</modulesynopsis>
projects / apache / blobdiff