<?xml version="1.0" encoding="ISO-8859-1" ?>
<!DOCTYPE manualpage SYSTEM "../style/manualpage.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English revision : 1031028 -->
+<!-- English revision : 1037224 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
<title>Suites de chiffrement et mise en application de la sécurité
de haut niveau</title>
<ul>
-<li><a href="#realssl">Comment créer un véritable serveur
-SSLv2 seulement ?</a></li>
<li><a href="#onlystrong">Comment créer un serveur SSL
qui n'accepte que le chiffrement fort ?</a></li>
<li><a href="#upgradeenc">Comment créer un serveur SSL qui n'accepte que le
accéder à une URL particulière ?</a></li>
</ul>
-<section id="realssl">
-<title>Comment créer un véritable serveur SSLv2 seulement ?</title>
- <p>Les directives suivantes créent un serveur SSL qui ne communique que
- selon le protocole SSLv2 et ses modes de chiffrement.</p>
-
- <example><title>httpd.conf</title>
- SSLProtocol -all +SSLv2<br />
- SSLCipherSuite SSLv2:+HIGH:+MEDIUM:+LOW:+EXP<br />
- </example>
-</section>
<section id="onlystrong">
<title>Comment créer un serveur SSL qui n'accepte
<p>Les directives suivantes ne permettent que les
chiffrements de plus haut niveau :</p>
<example><title>httpd.conf</title>
- SSLProtocol all<br />
- SSLCipherSuite HIGH:MEDIUM<br />
+ SSLProtocol all -SSLv3<br />
+ SSLCipherSuite HIGH:!ADH:!EXP:!MD5:!NULL<br />
</example>
</section>
-<section id="upgradeenc">
-<title>Comment créer un serveur SSL qui n'accepte que le
-chiffrement fort, mais permet aux navigateurs importés des USA
-d'évoluer vers un chiffrement plus fort ?</title>
- <p>Cette fonctionnalité se nomme Cryptographie Transférée par Serveur
- (Server Gated Cryptography - SGC) et nécessite un certificat de serveur
- à identifiant global, signé par un certificat de CA spécial de chez
- Verisign. Ceci permet d'activer le chiffrement fort dans les versions des
- navigateurs importés des US, qui n'en avaient habituellement pas la
- possibilité (à cause des restrictions à l'exportation imposées par les
- US).</p>
- <p>Quand un navigateur se connecte avec un mode de chiffrement importé
- des US, le serveur présente son certificat à identifiant global. le
- navigateur le vérifie, et peut ensuite faire évoluer sa suite de
- chiffrement avant que la communication HTTP ne se mette en place. Le
- problème consiste à permettre au navigateur de se mettre à jour de cette
- façon, mais de nécessiter encore un chiffrement fort. En d'autres termes,
- nous voulons que les navigateurs démarrent une connexion soit avec
- chiffrement fort, soit avec une version export du chiffrement mais que
- dans ce dernier cas, le navigateur fasse évoluer sa suite de chiffrement
- vers un chiffrement fort avant de démarrer la communication HTTP.</p>
- <p>Il est possible de parvenir à ceci de cette façon:</p>
+
+ <p>Avec la configuration qui suit, vous pouvez activer deux méthodes de chiffrement relativement sécurisées, et rapides :</p>
+
<example><title>httpd.conf</title>
- # autorise tout mode de chiffrement pour l'échange de données
- initial,<br />
- # les navigateurs non US peuvent ainsi se mettre à jour
- via la fonctionnalité SGC<br />
- SSLCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL<br />
+ SSLProtocol all -SSLv3<br />
+ SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:!ADH:!EXP:!MD5:!NULL<br />
+ SSLHonorCipherOrder on
<br />
- <Directory /usr/local/apache2/htdocs><br />
- # et enfin interdit l'accès à tous les navigateurs qui n'ont pas fait
- évoluer leur suite de chiffrement<br />
- SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128<br />
- </Directory>
</example>
+ <p>Ceci correspond largement à la valeur par défaut de la directive <directive module="mod_ssl">SSLCipherSuite</directive>,
+ et représente la pratique à conseiller.</p>
</section>
<section id="strongurl">
<Location /strong/area><br />
# sauf pour https://hostname/strong/area/ et ses sous-répertoires<br />
# qui exigent des chiffrements forts<br />
- SSLCipherSuite HIGH:MEDIUM<br />
+ SSLCipherSuite HIGH:!ADH:!EXP:!MD5:!NULL<br />
</Location>
</example>
</section>
projects / apache / commitdiff