<?xml version="1.0"?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1540312:1540798 (outdated) -->
+<!-- English Revision : 1540798 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
<syntax>AuthnCacheSOCache <var>nom-fournisseur[:arguments-fournisseur]</var></syntax>
<contextlist><context>server config</context></contextlist>
<override>None</override>
+<compatibility>Les paramètres optionnels du fournisseur sont disponibles
+depuis la version 2.4.7 du serveur HTTP Apache</compatibility>
<usage>
<p>Cette définition s'applique à l'ensemble du serveur et permet de
<?xml version="1.0"?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1533199:1542330 (outdated) -->
+<!-- English Revision: 1542330 -->
<!-- French translation: Fabien Coelho -->
<!-- Updated by Lucien Gentis -->
<?xml version="1.0"?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1533763:1542327 (outdated) -->
+<!-- English Revision : 1542327 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
<li><code>!</code>: supprime définitivement l'algorithme de la liste (ne
peut <strong>plus</strong> y être rajouté plus tard)</li>
</ul>
+
+<note>
+<title>Les algorithmes <code>aNULL</code>, <code>eNULL</code> et
+<code>EXP</code> sont toujours désactivés</title>
+<p>Depuis la version 2.4.7, les
+algorithmes de type null ou destinés à l'exportation sont toujours
+désactivés car mod_ssl fait
+obligatoirement précéder toute chaîne de suite d'algorithmes par
+<code>!aNULL:!eNULL:!EXP:</code> à l'initialisation.</p>
+</note>
+
<p>Pour vous simplifier la vie, vous pouvez utiliser la commande
``<code>openssl ciphers -v</code>'' qui vous fournit un moyen simple de
créer la chaîne <em>algorithmes</em> avec succès. La chaîne
<usage>
<p>
Cette directive permet de définir le fichier contenant le certificat
-X.509 du serveur codé en PEM, et par la même occasion sa clé privée RSA
-ou DSA (contenue dans le même fichier). Si la clé privée est chiffrée,
-le mot de passe sera demandé au démarrage. Cette directive peut être
-utilisée trois fois (pour référencer des noms de fichiers différents),
-lorsque des certificats de serveur RSA, DSA et ECC sont utilisés en
-parallèle.</p>
+X.509 du serveur codé au format PEM, éventuellement sa
+clé privée, et enfin (depuis la version 2.4.7) les
+paramètres DH et/ou un nom EC curve pour les clés
+éphémères (générés respectivement par <code>openssl dhparam</code> et
+<code>openssl ecparam</code>). Si la clé privée est chiffrée,
+l'ouverture d'une boîte de dialogue pour entrer le mot de passe est
+forcée au démarrage du serveur.</p>
+<p>Cette directive peut être utilisée jusqu'à trois fois (pour
+référencer différents fichiers) lorsque des certificats de serveur basés
+sur RSA, DSA et ECC sont utilisés en parallèle. Notez que les paramètres
+DH et ECDH ne sont lus que par la première directive
+<directive>SSLCertificateFile</directive>.</p>
+
+<note>
+<title>Interopérabilité des paramètres DH avec les nombres premiers de
+plus de 1024 bits</title>
+<p>
+Depuis la version 2.4.7, mod_ssl utilise des
+paramètres DH standardisés avec des nombres premiers de 2048, 3072 et
+4096 bits (voir <a href="http://www.ietf.org/rfc/rfc3526.txt">RFC
+3526</a>), et les fournit aux clients en fonction de la longueur de la
+clé du certificat RSA/DSA. En particulier avec les clients basés sur
+Java (versions 7 et antérieures), ceci peut provoquer des erreurs au
+cours de la négociation - voir cette <a
+href="../ssl/ssl_faq.html#javadh">réponse de la FAQ SSL</a> pour
+contourner les problèmes de ce genre.
+</p>
+</note>
+
<example><title>Exemple</title>
<highlight language="config">
SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt
<?xml version="1.0" encoding="ISO-8859-1" ?>
<!DOCTYPE manualpage SYSTEM "../style/manualpage.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1420057:1542327 (outdated) -->
+<!-- English revision : 1542327 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
<li><a href="#msie">Pourquoi des erreurs d'entrée/sortie apparaissent-elles
lorsqu'on se connecte à un serveur Apache+mod_ssl avec
Microsoft Internet Explorer (MSIE) ?</a></li>
+<li><a href="#srp">Comment activer TLS-SRP ?</a></li>
+<li><a href="#javadh">Pourquoi des erreurs de négociation apparaissent
+avec les clients basés sur Java lorsqu'on utilise un certificat de plus
+de 1024 bits ?</a></li>
</ul>
<section id="random"><title>Pourquoi de nombreuses et aléatoires erreurs de
</example>
</section>
+<section id="javadh"><title>Pourquoi des erreurs de négociation apparaissent
+avec les clients basés sur Java lorsqu'on utilise un certificat de plus
+de 1024 bits ?</title>
+ <p>Depuis la version 2.4.7,
+ <module>mod_ssl</module> utilise des paramètres DH qui comportent
+ des nombres premiers de plus de 1024 bits. Cependant, java 7 et ses versions
+ antérieures ne supportent que les nombres premiers DH d'une longueur
+ maximale de 1024 bits.</p>
+
+ <p>Si votre client basé sur Java s'arrête avec une exception telle
+ que <code>java.lang.RuntimeException: Could not generate DH
+ keypair</code> et
+ <code>java.security.InvalidAlgorithmParameterException: Prime size
+ must be multiple of 64, and can only range from 512 to 1024
+ (inclusive)</code>, et si httpd enregistre le message <code>tlsv1
+ alert internal error (SSL alert number 80)</code> dans son journal
+ des erreurs (avec un <directive module="core">LogLevel</directive>
+ <code>info</code> ou supérieur), vous pouvez soit réarranger la
+ liste d'algorithmes de mod_ssl via la directive <directive
+ module="mod_ssl">SSLCipherSuite</directive> (éventuellement en
+ conjonction avec la directive <directive
+ module="mod_ssl">SSLHonorCipherOrder</directive>), soit utiliser la
+ directive <directive module="mod_ssl">SSLCertificateFile</directive>
+ pour configurer des paramètres DH personnalisés avec un nombre
+ premier de 1024 bits, paramètres qui seront toujours prioritaires
+ par rapport à tout autre paramètre DH par défaut.</p>
+
+ <p>Pour générer des paramètres DH personnalisés, utilisez la
+ commande <code>openssl dhparam</code>. Vous pouvez aussi ajouter les
+ paramètres DH standards issus de la <a
+ href="http://www.ietf.org/rfc/rfc2409.txt">RFC 2409</a>, section 6.2
+ au fichier <directive module="ssl">SSLCertificateFile</directive>
+ considéré :</p>
+ <example><pre>-----BEGIN DH PARAMETERS-----
+MIGHAoGBAP//////////yQ/aoiFowjTExmKLgNwc0SkCTgiKZ8x0Agu+pjsTmyJR
+Sgh5jjQE3e+VGbPNOkMbMCsKbfJfFDdP4TVtbVHCReSFtXZiXn7G9ExC6aY37WsL
+/1y29Aa37e44a/taiZ+lrp8kEXxLH+ZJKGZR7OZTgf//////////AgEC
+-----END DH PARAMETERS-----</pre></example>
+</section>
+
</section>
<!-- /aboutssl -->
projects / apache / commitdiff