<?xml version="1.0"?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1688755:1705784 (outdated) -->
+<!-- English Revision: 1705784 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
<seealso><directive module="mpm_common">Listen</directive></seealso>
</directivesynopsis>
+<directivesynopsis>
+ <name>Protocols</name>
+ <description>Protocoles disponibles pour un serveur virtuel ou non</description>
+ <syntax>Protocols <var>protocole</var> ...</syntax>
+ <default>Protocols http/1.1</default>
+ <contextlist><context>server config</context><context>virtual host</context></contextlist>
+ <compatibility>Disponible à partir de la version 2.4.17 du serveur
+ HTTP Apache.</compatibility>
+
+ <usage>
+ <p>Cette directive permet de spécifier la liste des protocoles
+ supportés par un serveur virtuel ou non. Cette liste énumère les
+ protocoles qu'un client sera autorisé à négocier avec ce
+ serveur.</p>
+
+ <p>Par défaut,
+ seul le protocole http/1.1 est disponible (compatible avec les
+ clients http/1.0 et http/0.9). Par conséquent, vous devez
+ fournir cette liste si vous voulez étendre les protocoles
+ disponibles pour le serveur.</p>
+
+ <p>Par exemple, si vous voulez autoriser le protocole
+ HTTP/2 pour un serveur avec TLS, utilisez
+ cette directive comme suit :</p>
+
+ <highlight language="config">
+ Protocols h2 http/1.1
+ </highlight>
+
+ <p>Les protocoles valides sont <code>http/1.1</code> pour les
+ connexions http et https, <code>h2</code> pour les connections
+ https et <code>h2c</code> pour les connexions http. D'autres
+ modules peuvent fournir d'autres protocoles.</p>
+
+ <p>Spécifier des protocoles non disponibles ou désactivés n'aura
+ aucun effet, et ceux-ci seront simplement ignorés.</p>
+
+ <p>Si un serveur virtuel ne possède pas de directive Protocols
+ propre, il hérite des protocoles spécifiés pour le serveur
+ principal. Autrement dit, les directives Protocols définies au
+ niveau d'un serveur virtuel remplacent celles définies au niveau
+ du serveur principal.
+ </p>
+
+ </usage>
+ <seealso><directive module="core">ProtocolsHonorOrder</directive></seealso>
+</directivesynopsis>
+
+
+<directivesynopsis>
+ <name>ProtocolsHonorOrder</name>
+ <description>Détermine qui du client ou du serveur détermine l'ordre
+ des protocoles au cours de la négociation de la connexion</description>
+ <syntax>ProtocolsHonorOrder On|Off</syntax>
+ <default>ProtocolsHonorOrder On</default>
+ <contextlist><context>server config</context><context>virtual host</context></contextlist>
+ <compatibility>Disponible à partir de la version 2.4.17 du serveur
+ HTTP Apache.</compatibility>
+
+ <usage>
+ <p>Cette directive permet de définir si le serveur doit tenir
+ compte de l'ordre des protocoles définis par la directive
+ <directive>Protocols</directive>.</p>
+
+ <p>Si cette directive est définie à Off, l'ordre de la liste des
+ protocoles fournie par le client l'emporte sur l'ordre défini
+ dans la configuration du serveur.</p>
+
+ <p>Si la directive <directive>ProtocolsHonorOrder</directive>
+ est définie à <code>on</code> (valeur par défaut),
+ il n'est pas tenu compte de l'ordre de la liste des protocoles
+ fournie par le client, et seul l'ordre de la liste des protocles
+ définie au niveau du serveur influera la
+ négociation du protocole.</p>
+
+ </usage>
+ <seealso><directive module="core">Protocols</directive></seealso>
+</directivesynopsis>
<directivesynopsis>
<name>RLimitCPU</name>
<?xml version="1.0"?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1702644:1706008 (outdated) -->
+<!-- English Revision: 1706008 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
<td>Les entrées d'extension subjectAltName du certificat client de type rfc822Name</td></tr>
<tr><td><code>SSL_CLIENT_SAN_DNS_</code><em>n</em></td> <td>chaîne</td>
<td>Les entrées d'extension subjectAltName du certificat client de type dNSName</td></tr>
+<tr><td><code>SSL_CLIENT_SAN_OTHER_msUPN_</code><em>n</em></td>
+<td>chaîne</td> <td>Extensions subjectAltName de type otherName du
+certificat client, forme Microsoft du nom principal de l'utilisateur (OID 1.3.6.1.4.1.311.20.2.3)</td></tr>
<tr><td><code>SSL_CLIENT_I_DN</code></td> <td>chaîne</td>
<td>DN de l'émetteur du certificat du client</td></tr>
<tr><td><code>SSL_CLIENT_I_DN_</code><em>x509</em></td> <td>chaîne</td>
<tr><td><code>SSL_SERVER_SAN_DNS_</code><em>n</em></td> <td>chaîne</td>
<td>Les entrées d'extension subjectAltName du
certificat de serveur de type dNSName</td></tr>
+<tr><td><code>SSL_SERVER_SAN_OTHER_dnsSRV_</code><em>n</em></td>
+<td>chaîne</td> <td>Extensions subjectAltName de type otherName du
+certificat serveur, sous la forme SRVName (OID 1.3.6.1.5.5.7.8.7, RFC 4985)</td></tr>
<tr><td><code>SSL_SERVER_I_DN</code></td> <td>chaîne</td>
<td>DN de l'émetteur du certificat du serveur</td></tr>
<tr><td><code>SSL_SERVER_I_DN_</code><em>x509</em></td> <td>chaîne</td>
<description>Indique les versions du protocole SSL/TLS
disponibles</description>
<syntax>SSLProtocol [+|-]<em>protocole</em> ...</syntax>
-<default>SSLProtocol all</default>
+<default>SSLProtocol all -SSLv3 (jusqu'à la version 2.4.16 : all)</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<p>
Il s'agit du protocole Secure Sockets Layer (SSL) version 3.0 de
Netscape Corporation. C'est le successeur de SSLv2 et le
- prédécesseur de TLSv1.</p></li>
+ prédécesseur de TLSv1, mais est considéré comme
+ obsolète dans la <a href="http://www.ietf.org/rfc/rfc7568.txt">RFC
+ 7568</a></p></li>
<li><code>TLSv1</code>
<p>
<li><code>all</code>
<p>
C'est un raccourci pour ``<code>+SSLv3 +TLSv1</code>'' ou - à partir
- de la version 1.0.1 d'OpenSSL - ``<code>+SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2</code>.</p></li>
+ de la version 1.0.1 d'OpenSSL - ``<code>+SSLv3 +TLSv1 +TLSv1.1
+ +TLSv1.2</code>'' (sauf si OpenSSL a été compilé avec l'option
+ ``no-ssl3'', auquel cas <code>all</code> n'inclura pas
+ <code>+SSLv3</code>).</p></li>
</ul>
<example><title>Exemple</title>
<highlight language="config">
<code>EXP</code> sont toujours désactivés</title>
<p>Depuis la version 2.4.7, les
algorithmes de type null ou destinés à l'exportation sont toujours
-désactivés car mod_ssl fait
-obligatoirement précéder toute chaîne de suite d'algorithmes par
-<code>!aNULL:!eNULL:!EXP:</code> à l'initialisation.</p>
+désactivés car mod_ssl ajoute obligatoirement
+<code>!aNULL:!eNULL:!EXP</code> à toute chaîne d'algorithme de
+chiffrement à l'initialisation.</p>
</note>
<p>Pour vous simplifier la vie, vous pouvez utiliser la commande
les informations de certificat
X.509 du serveur codées au format PEM. Ce fichier doit contenir
au minimum un certificat d'entité finale (feuille).
-La directive peut être utilisée plusieurs fois (elle référence des
-fichiers différents) pour accepter plusieurs algorithmes
+La directive peut être utilisée plusieurs fois (elle référence des
+fichiers différents) pour accepter plusieurs algorithmes
d'authentification au niveau du serveur - souvent RSA, DSA et ECC. Le
-nombre d'algorithmes supportés dépend de la version d'OpenSSL utilisée
-avec mod_ssl : à partir de la version 1.0.0, la commande <code>openssl
+nombre d'algorithmes supportés dépend de la version d'OpenSSL utilisée
+avec mod_ssl : à partir de la version 1.0.0, la commande <code>openssl
list-public-key-algorithms</code> affiche la liste des algorithmes
-supportés.
+supportés.
</p>
<p>Les fichiers peuvent aussi contenir des certificats de CA
-intermédiaires triés depuis la feuille vers la racine. Cette
-fonctionnalité est disponible depuis la version 2.4.8 du serveur HTTP
-Apache, et rend obsolète la directive <directive
+intermédiaires triés depuis la feuille vers la racine. Cette
+fonctionnalité est disponible depuis la version 2.4.8 du serveur HTTP
+Apache, et rend obsolète la directive <directive
module="mod_ssl">SSLCertificateChainFile</directive>. A partir de la
-version 1.0.2 d'OpenSSL, il est alors possible de configurer la chaîne
+version 1.0.2 d'OpenSSL, il est alors possible de configurer la chaîne
de certification en fonction du certificat.</p>
<p>Depuis la version 2.4.7 du serveur HTTP Apache, on peut aussi ajouter
-des paramètres DH personnalisés et un nom EC
-curve pour les clés éphémères à la fin du premier fichier défini par la
+des paramètres DH personnalisés et un nom EC
+curve pour les clés éphémères à la fin du premier fichier défini par la
directive <directive module="mod_ssl">SSLCertificateFile</directive>.
-Ces paramètres peuvent être générés avec les commandes <code>openssl
-dhparam</code> et <code>openssl ecparam</code>, et ils peuvent être
-ajoutés tel quel à la fin du premier fichier de certificat. En effet,
-seul le premier fichier de certificat défini peut être utilisé pour
-enregistrer des paramètres personnalisés, car ces derniers s'appliquent
-indépendamment de l'algorithme d'authentification utilisé.
+Ces paramètres peuvent être générés avec les commandes <code>openssl
+dhparam</code> et <code>openssl ecparam</code>, et ils peuvent être
+ajoutés tel quel à la fin du premier fichier de certificat. En effet,
+seul le premier fichier de certificat défini peut être utilisé pour
+enregistrer des paramètres personnalisés, car ces derniers s'appliquent
+indépendamment de l'algorithme d'authentification utilisé.
</p>
-<p>Enfin, il est aussi possible d'ajouter la clé privée du certificat de
-l'entité finale au fichier de certificat, ce qui permet de se passer
+<p>Enfin, il est aussi possible d'ajouter la clé privée du certificat de
+l'entité finale au fichier de certificat, ce qui permet de se passer
d'une directive <directive
-module="mod_ssl">SSLCertificateKeyFile</directive> séparée. Cette
-pratique est cependant fortement déconseillée. En effet, les fichiers de
-certificats qui contiennent de tels clés embarquées doivent être définis
-avant les certificats en utilisant un fichier de clé séparé. En outre,
-si la clé est chiffrée, une boîte de dialogue pour entrer le mot de
-passe de la clé s'ouvre au démarrage du serveur.
+module="mod_ssl">SSLCertificateKeyFile</directive> séparée. Cette
+pratique est cependant fortement déconseillée. En effet, les fichiers de
+certificats qui contiennent de tels clés embarquées doivent être définis
+avant les certificats en utilisant un fichier de clé séparé. En outre,
+si la clé est chiffrée, une boîte de dialogue pour entrer le mot de
+passe de la clé s'ouvre au démarrage du serveur.
</p>
<note>
</p>
<p>
-La clé privé peut aussi être ajoutée au fichier défini par la directive
+La clé privé peut aussi être ajoutée au fichier défini par la directive
<directive module="mod_ssl">SSLCertificateFile</directive>, mais cette
-pratique est fortement déconseillée. En effet, les fichiers de
-certificats qui comportent une telle clé doivent être définis après les
-certificats en utilisant un fichier de clé séparé.</p>
+pratique est fortement déconseillée. En effet, les fichiers de
+certificats qui comportent une telle clé doivent être définis après les
+certificats en utilisant un fichier de clé séparé.</p>
<example><title>Exemple</title>
<highlight language="config">
<description>Définit les protocoles SSL disponibles pour la fonction de
mandataire</description>
<syntax>SSLProxyProtocol [+|-]<em>protocole</em> ...</syntax>
-<default>SSLProxyProtocol all</default>
+<default>SSLProxyProtocol all -SSLv3 (jusqu'à la version 2.4.16: all)</default>
<contextlist><context>server config</context>
<context>virtual host</context></contextlist>
<override>Options</override>
<?xml version="1.0"?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1590654:1705612 (outdated) -->
+<!-- English Revision: 1705612 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
use</code>, citant d'autres causes possibles.</a></seealso>
</directivesynopsis>
+<directivesynopsis>
+<name>ListenCoresBucketsRatio</name>
+<description>Rapport entre le nombre de coeurs de processeur activés et
+le nombre de segments d'écoute</description>
+<syntax>ListenCoresBucketsRatio <var>ratio</var></syntax>
+<default>ListenCoresBucketsRatio 0 (disabled)</default>
+<contextlist><context>server config</context></contextlist>
+<modulelist>
+<module>event</module>
+<module>prefork</module>
+<module>worker</module></modulelist>
+<compatibility>Disponible à partir de la version 2.4.13 du serveur HTTP
+Apache, avec un noyau supportant l'option de socket
+<code>SO_REUSEPORT</code>, et distribuant uniformément les nouvelles
+connexions aux sockets d'écoute des processus (ou threads) qui
+l'utilisent (par exemple Linux versions 3.9 et ultérieures, mais pas
+l'implémentation courante de <code>SO_REUSEPORT</code> par les
+plateformes de type BSD.</compatibility>
+
+<usage>
+ <p>Vous pouvez utiliser la directive
+ <directive>ListenCoresBucketsRatio</directive> pour spécifier un
+ <var>ratio</var> entre le nombre de coeurs de CPU activés et le
+ nombre de segments d'écoute (listeners' buckets) souhaités ; le
+ serveur HTTP Apache va alors créer<code>num_cpu_cores / ratio</code>
+ segments d'écoute, chacun contenant son propre socket d'écoute
+ <directive>Listen</directive> sur le ou les mêmes ports ; chaque
+ processus enfant sera associé à un seul segment d'écoute (avec une
+ distribution de type round-robin des segments à la création des
+ processus enfants).</p>
+
+ <p>La directive <directive>ListenCoresBucketsRatio</directive> peut
+ améliorer le support de la montée en charge lorsque l'arrivée de
+ nouvelles connexions est/devient un goulot d'étranglement. Le test
+ de cette fonctionnalité avec des machines possédant un nombre de
+ coeurs de CPU important a permit de constater une amélioration des
+ performances significative et des temps de réponse plus courts.</p>
+
+ <p>Pour que cette fonctionnalité soit activée, le nombre de coeurs
+ de CPU doit être égal au moins au double du <var>ratio</var>
+ spécifié. Si vous spécifiez la valeur recommandée pour
+ <var>ratio</var>, à savoir <code>8</code>, le nombre minimum de
+ coeurs de processeurs disponibles sera alors de <code>16</code>.</p>
+</usage>
+</directivesynopsis>
+
<directivesynopsis>
<name>ListenBackLog</name>
<description>Longueur maximale de la liste d'attente des