From: Lucien Gentis Date: Sat, 5 Oct 2013 13:09:18 +0000 (+0000) Subject: Update. X-Git-Tag: 2.5.0-alpha~4974 X-Git-Url: https://granicus.if.org/sourcecode?a=commitdiff_plain;h=c2c75f91722ca143b257764230dd0b9458ecd4fa;p=apache Update. git-svn-id: https://svn.apache.org/repos/asf/httpd/httpd/trunk@1529447 13f79535-47bb-0310-9956-ffa450edef68 --- diff --git a/docs/manual/ssl/ssl_faq.xml.fr b/docs/manual/ssl/ssl_faq.xml.fr index 488d148f52..af96232a83 100644 --- a/docs/manual/ssl/ssl_faq.xml.fr +++ b/docs/manual/ssl/ssl_faq.xml.fr @@ -1,7 +1,7 @@ - + @@ -559,6 +559,10 @@ et mot de passe sont envoyés en clair ?
  • Pourquoi des erreurs d'entrée/sortie apparaissent-elles lorsqu'on se connecte à un serveur Apache+mod_ssl avec Microsoft Internet Explorer (MSIE) ?
    • +
  • Comment activer TLS-SRP ?
    • +
  • Pourquoi des erreurs de négociation apparaissent +avec les clients basés sur Java lorsqu'on utilise un certificat de plus +de 1024 bits ?
    • Pourquoi de nombreuses et aléatoires erreurs de @@ -785,28 +789,69 @@ SetEnvIf User-Agent "MSIE [2-5]" \ </section> <section id="srp"><title>Comment activer TLS-SRP ? -

    TLS-SRP (Echange de clés avec mot de passe distant sécurisé, - défini dans la RFC 5054) peut compléter ou même remplacer les +

    TLS-SRP (Echange de clés avec mot de passe distant sécurisé, + défini dans la RFC 5054) peut compléter ou même remplacer les certificats au cours de l'authentification d'une connexion SSL. Pour - utiliser TLS-SRP, affectez à la directive SSLSRPVerifierFile un fichier de - vérification OpenSSL SRP. Pour créer ce fichier de vérification, + vérification OpenSSL SRP. Pour créer ce fichier de vérification, utilisez l'outil openssl :

    openssl srp -srpvfile passwd.srpv -add username -

    Une fois ce fichier créé, spécifiez-le dans la configuration SSL +

    Une fois ce fichier créé, spécifiez-le dans la configuration SSL du serveur :

    SSLSRPVerifierFile /path/to/passwd.srpv -

    Pour forcer les clients à utiliser des algorithmes de chiffrement - non basés sur les certificats, utilisez la directive suivante :

    +

    Pour forcer les clients à utiliser des algorithmes de chiffrement + non basés sur les certificats, utilisez la directive suivante :

    SSLCipherSuite "!DSS:!aRSA:SRP"
    +
    Pourquoi des erreurs de négociation apparaissent +avec les clients basés sur Java lorsqu'on utilise un certificat de plus +de 1024 bits ? +

    Depuis la version 2.5.0-dev et à/c du 29/09/2013, + mod_ssl utilise des paramètres DH qui comportent + des nombres premiers de plus de 1024 bits. Cependant, java 7 et ses versions + antérieures ne supportent que les nombres premiers DH d'une longueur + maximale de 1024 bits.

    + +

    Si votre client basé sur Java s'arrête avec une exception telle + que java.lang.RuntimeException: Could not generate DH + keypair et + java.security.InvalidAlgorithmParameterException: Prime size + must be multiple of 64, and can only range from 512 to 1024 + (inclusive), et si httpd enregistre le message tlsv1 + alert internal error (SSL alert number 80) dans son journal + des erreurs (avec un LogLevel + info ou supérieur), vous pouvez soit réarranger la + liste d'algorithmes de mod_ssl via la directive SSLCipherSuite (éventuellement en + conjonction avec la directive SSLHonorCipherOrder), soit utiliser la + directive SSLCertificateFile + pour configurer des paramètres DH personnalisés avec un nombre + premier de 1024 bits, paramètres qui seront toujours prioritaires + par rapport à tout autre paramètre DH par défaut.

    + +

    Pour générer des paramètres DH personnalisés, utilisez la + commande openssl dhparam. Vous pouvez aussi ajouter les + paramètres DH standards issus de la RFC 2409, section 6.2 + au fichier SSLCertificateFile + considéré :

    + 
    -----BEGIN DH PARAMETERS-----
+MIGHAoGBAP//////////yQ/aoiFowjTExmKLgNwc0SkCTgiKZ8x0Agu+pjsTmyJR
+Sgh5jjQE3e+VGbPNOkMbMCsKbfJfFDdP4TVtbVHCReSFtXZiXn7G9ExC6aY37WsL
+/1y29Aa37e44a/taiZ+lrp8kEXxLH+ZJKGZR7OZTgf//////////AgEC
+-----END DH PARAMETERS-----
     +
    + +