<?xml version="1.0" encoding="ISO-8859-1" ?>
<!DOCTYPE manualpage SYSTEM "../style/manualpage.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1380242:1632454 (outdated) -->
+<!-- English Revision : 1632454 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
</section>
<!-- /ciphersuites -->
+<section id="ocspstapling">
+<title>Agrafage OCSP</title>
+
+<p>Le protocole de contrôle du statut des certificats en ligne (Online
+Certificate Status Protocol - OCSP) est un mécanisme permettant de
+déterminer si un certificat a été révoqué ou non, et l'agrafage OCSP en
+est une fonctionnalité particulière par laquelle le serveur, par exemple
+httpd et mod_ssl, maintient une liste des réponses OCSP actuelles pour
+ses certificats et l'envoie aux clients qui communiquent avec lui. La
+plupart des certificats contiennent l'adresse d'un répondeur OCSP maintenu
+par l'Autorité de Certification (CA) spécifiée, et mod_ssl peut requérir
+ce répondeur pour obtenir une réponse signée qui peut être envoyée aux
+clients qui communiquent avec le serveur.</p>
+
+<p>L'agrafage OCSP est la méthode la plus performante pour obtenir le
+statut d'un certificat car il est disponible au niveau du serveur, et le
+client n'a donc pas besoin d'ouvrir une nouvelle connexion vers
+l'autorité de certification. Autres avantages de l'absence de
+communication entre le client et l'autorité de certification :
+l'autorité de certification n'a pas accès à l'historique de navigation
+du client, et l'obtention du statut du certificat est plus efficace car
+elle n'est plus assujettie à une surcharge éventuelle des serveurs de
+l'autorité de certification.</p>
+
+<p>La charge du serveur est moindre car la réponse qu'il a obtenu du
+répondeur OCSP peut être réutilisée par tous les clients qui utilisent
+le même certificat dans la limite du temps de validité de la réponse.</p>
+
+<p>Une fois le support général SSL correctement configuré, l'activation
+de l'agrafage OCSP ne requiert que des modifications mineures
+à la configuration de httpd et il suffit en général de l'ajout de ces
+deux directives :</p>
+
+ <highlight language="config">
+SSLUseStapling On
+SSLStaplingCache "shmcb:ssl_stapling(32768)"
+ </highlight>
+
+<p>Ces directives sont placées de façon à ce qu'elles aient une portée
+globale (et particulièrement en dehors de toute section VirtualHost), le
+plus souvent où sont placées les autres directives de configuration
+globales SSL, comme <code>conf/extra/httpd-ssl.conf</code> pour les
+installations de httpd à partir des sources, ou
+<code>/etc/apache2/mods-enabled/ssl.conf</code> pour Ubuntu ou Debian,
+etc...</p>
+
+<p>Les sections suivantes explicitent les situations courantes qui
+requièrent des modifications supplémentaires de la configuration. Vous
+pouvez aussi vous référer au manuel de référence de
+<module>mod_ssl</module>.</p>
+
+<section>
+<title>Si l'on utilise plus que quelques certificats SSL pour le serveur</title>
+<p>Les réponses OCSP sont stockées dans le cache d'agrafage SSL. Alors
+que les réponses ont une taille de quelques centaines à quelques
+milliers d'octets, mod_ssl supporte des réponses d'une taille jusqu'à
+environ 10 ko. Dans notre cas, le nombre de certificats est conséquent
+et la taille du cache (32768 octets dans l'exemple ci-dessus) doit être
+augmentée.</p>
+</section>
+
+<section>
+<title>Si le certificat ne spécifie pas de répondeur OCSP, ou si une
+adresse différente doit être utilisée</title>
+<p>Veuillez vous référer à la documentation de la directive <directive
+module="mod_ssl">SSLStaplingForceURL</directive>.</p>
+
+<p>Vous pouvez vérifier si un certificat spécifie un répondeur OCSP en
+utilisant la commande openssl comme suit :</p>
+
+<pre>
+$ openssl x509 -in ./www.example.com.crt -text | grep 'OCSP.*http'
+OCSP - URI:http://ocsp.example.com
+</pre>
+
+<p>Si un URI OCSP est fourni et si le serveur web peut communiquer
+directement avec lui sans passer par un mandataire, aucune modification
+supplémentaire de la configuration n'est requise. Notez que les règles
+du pare-feu qui contrôlent les connexions sortantes en provenance du
+serveur web devront peut-être subir quelques ajustements.</p>
+
+<p>Si aucun URI OCSP n'est fourni, contactez votre autorité de
+certification pour savoir s'il en existe une ; si c'est le
+cas, utilisez la directive <directive
+module="mod_ssl">SSLStaplingForceURL</directive> pour la spécifier dans
+la configuration du serveur virtuel qui utilise le certificat.</p>
+</section>
+
+<section>
+<title>Si plusieurs serveurs virtuels sont configurés pour utiliser SSL
+et si l'agrafage OCSP doit être désactivé pour certains d'entre eux</title>
+
+<p>Ajoutez la directive <code>SSLUseStapling Off</code> à la
+configuration des serveurs virtuels pour lesquels l'agrafage OCSP doit
+être désactivé.</p>
+</section>
+
+<section>
+<title>Si le répondeur OCSP est lent ou instable</title>
+<p>De nombreuses directives permettent de gérer les temps de réponse et
+les erreurs. Référez-vous à la documentation de <directive
+module="mod_ssl">SSLStaplingFakeTryLater</directive>, <directive
+module="mod_ssl">SSLStaplingResponderTimeout</directive>, et <directive
+module="mod_ssl">SSLStaplingReturnResponderErrors</directive>.</p>
+</section>
+
+</section>
+<!-- /ocspstapling -->
+
+
<section id="accesscontrol">
<title>Authentification du client et contrôle d'accès</title>
<ul>
projects / apache / commitdiff