From 024b0f4e046b8e751ad3ee34cfb25097ac966a48 Mon Sep 17 00:00:00 2001
From: Lucien Gentis <lgentis@apache.org>
Date: Sat, 16 Nov 2013 15:09:46 +0000
Subject: [PATCH] Updates.

git-svn-id: https://svn.apache.org/repos/asf/httpd/httpd/branches/2.4.x@1542523 13f79535-47bb-0310-9956-ffa450edef68
---
 docs/manual/mod/mod_authn_socache.xml.fr |  4 +-
 docs/manual/mod/mod_macro.xml.fr         |  2 +-
 docs/manual/mod/mod_ssl.xml.fr           | 48 ++++++++++++++++++++----
 docs/manual/ssl/ssl_faq.xml.fr           | 46 ++++++++++++++++++++++-
 4 files changed, 90 insertions(+), 10 deletions(-)

diff --git a/docs/manual/mod/mod_authn_socache.xml.fr b/docs/manual/mod/mod_authn_socache.xml.fr
index c40939b989..59a13152fb 100644
--- a/docs/manual/mod/mod_authn_socache.xml.fr
+++ b/docs/manual/mod/mod_authn_socache.xml.fr
@@ -1,7 +1,7 @@
 <?xml version="1.0"?>
 <!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
 <?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1540312:1540798 (outdated) -->
+<!-- English Revision : 1540798 -->
 <!-- French translation : Lucien GENTIS -->
 <!-- Reviewed by : Vincent Deffontaines -->
 
@@ -132,6 +132,8 @@ utiliser</description>
 <syntax>AuthnCacheSOCache <var>nom-fournisseur[:arguments-fournisseur]</var></syntax>
 <contextlist><context>server config</context></contextlist>
 <override>None</override>
+<compatibility>Les param&egrave;tres optionnels du fournisseur sont disponibles
+depuis la version 2.4.7 du serveur HTTP Apache</compatibility>
 
 <usage>
     <p>Cette d&eacute;finition s'applique &agrave; l'ensemble du serveur et permet de
diff --git a/docs/manual/mod/mod_macro.xml.fr b/docs/manual/mod/mod_macro.xml.fr
index 81a17fef7e..6ceee7101d 100644
--- a/docs/manual/mod/mod_macro.xml.fr
+++ b/docs/manual/mod/mod_macro.xml.fr
@@ -1,7 +1,7 @@
 <?xml version="1.0"?>
 <!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
 <?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1533199:1542330 (outdated) -->
+<!-- English Revision: 1542330 -->
 <!-- French translation: Fabien Coelho -->
 <!-- Updated by Lucien Gentis -->
 
diff --git a/docs/manual/mod/mod_ssl.xml.fr b/docs/manual/mod/mod_ssl.xml.fr
index f4dd0eb23f..6d9fc44fc1 100644
--- a/docs/manual/mod/mod_ssl.xml.fr
+++ b/docs/manual/mod/mod_ssl.xml.fr
@@ -1,7 +1,7 @@
 <?xml version="1.0"?>
 <!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
 <?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1533763:1542327 (outdated) -->
+<!-- English Revision : 1542327 -->
 <!-- French translation : Lucien GENTIS -->
 <!-- Reviewed by : Vincent Deffontaines -->
 
@@ -868,6 +868,17 @@ plus tard)</li>
 <li><code>!</code>: supprime d&eacute;finitivement l'algorithme de la liste (ne
 peut <strong>plus</strong> y &ecirc;tre rajout&eacute; plus tard)</li>
 </ul>
+
+<note>
+<title>Les algorithmes <code>aNULL</code>, <code>eNULL</code> et
+<code>EXP</code> sont toujours d&eacute;sactiv&eacute;s</title>
+<p>Depuis la version 2.4.7, les
+algorithmes de type null ou destin&eacute;s &agrave; l'exportation sont toujours
+d&eacute;sactiv&eacute;s car mod_ssl fait
+obligatoirement pr&eacute;c&eacute;der toute cha&icirc;ne de suite d'algorithmes par
+<code>!aNULL:!eNULL:!EXP:</code> &agrave; l'initialisation.</p>
+</note>
+
 <p>Pour vous simplifier la vie, vous pouvez utiliser la commande
 ``<code>openssl ciphers -v</code>'' qui vous fournit un moyen simple de
 cr&eacute;er la cha&icirc;ne <em>algorithmes</em> avec succ&egrave;s. La cha&icirc;ne
@@ -946,12 +957,35 @@ PEM</description>
 <usage>
 <p>
 Cette directive permet de d&eacute;finir le fichier contenant le certificat
-X.509 du serveur cod&eacute; en PEM, et par la m&ecirc;me occasion sa cl&eacute; priv&eacute;e RSA
-ou DSA (contenue dans le m&ecirc;me fichier). Si la cl&eacute; priv&eacute;e est chiffr&eacute;e,
-le mot de passe sera demand&eacute; au d&eacute;marrage. Cette directive peut &ecirc;tre
-utilis&eacute;e trois fois (pour r&eacute;f&eacute;rencer des noms de fichiers diff&eacute;rents),
-lorsque des certificats de serveur RSA, DSA et ECC sont utilis&eacute;s en
-parall&egrave;le.</p>
+X.509 du serveur cod&eacute; au format PEM, &eacute;ventuellement sa
+cl&eacute; priv&eacute;e, et enfin (depuis la version 2.4.7) les
+param&egrave;tres DH et/ou un nom EC curve pour les cl&eacute;s
+&eacute;ph&eacute;m&egrave;res (g&eacute;n&eacute;r&eacute;s respectivement par <code>openssl dhparam</code> et
+<code>openssl ecparam</code>). Si la cl&eacute; priv&eacute;e est chiffr&eacute;e,
+l'ouverture d'une bo&icirc;te de dialogue pour entrer le mot de passe est
+forc&eacute;e au d&eacute;marrage du serveur.</p>
+<p>Cette directive peut &ecirc;tre utilis&eacute;e jusqu'&agrave; trois fois (pour
+r&eacute;f&eacute;rencer diff&eacute;rents fichiers) lorsque des certificats de serveur bas&eacute;s
+sur RSA, DSA et ECC sont utilis&eacute;s en parall&egrave;le. Notez que les param&egrave;tres
+DH et ECDH ne sont lus que par la premi&egrave;re directive
+<directive>SSLCertificateFile</directive>.</p>
+
+<note>
+<title>Interop&eacute;rabilit&eacute; des param&egrave;tres DH avec les nombres premiers de
+plus de 1024 bits</title>
+<p>
+Depuis la version 2.4.7, mod_ssl utilise des
+param&egrave;tres DH standardis&eacute;s avec des nombres premiers de 2048, 3072 et
+4096 bits (voir <a href="http://www.ietf.org/rfc/rfc3526.txt">RFC
+3526</a>), et les fournit aux clients en fonction de la longueur de la
+cl&eacute; du certificat RSA/DSA. En particulier avec les clients bas&eacute;s sur
+Java (versions 7 et ant&eacute;rieures), ceci peut provoquer des erreurs au
+cours de la n&eacute;gociation - voir cette <a
+href="../ssl/ssl_faq.html#javadh">r&eacute;ponse de la FAQ SSL</a> pour
+contourner les probl&egrave;mes de ce genre.
+</p>
+</note>
+
 <example><title>Exemple</title>
 <highlight language="config">
 SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt
diff --git a/docs/manual/ssl/ssl_faq.xml.fr b/docs/manual/ssl/ssl_faq.xml.fr
index a9dd48dc42..0e9abfc469 100644
--- a/docs/manual/ssl/ssl_faq.xml.fr
+++ b/docs/manual/ssl/ssl_faq.xml.fr
@@ -1,7 +1,7 @@
 <?xml version="1.0" encoding="ISO-8859-1" ?>
 <!DOCTYPE manualpage SYSTEM "../style/manualpage.dtd">
 <?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1420057:1542327 (outdated) -->
+<!-- English revision : 1542327 -->
 <!-- French translation : Lucien GENTIS -->
 <!-- Reviewed by : Vincent Deffontaines -->
 
@@ -559,6 +559,10 @@ et mot de passe sont envoy&eacute;s en clair ?</a></li>
 <li><a href="#msie">Pourquoi des erreurs d'entr&eacute;e/sortie apparaissent-elles
 lorsqu'on se connecte &agrave; un serveur Apache+mod_ssl avec
 Microsoft Internet Explorer (MSIE) ?</a></li>
+<li><a href="#srp">Comment activer TLS-SRP ?</a></li>
+<li><a href="#javadh">Pourquoi des erreurs de n&eacute;gociation apparaissent
+avec les clients bas&eacute;s sur Java lorsqu'on utilise un certificat de plus
+de 1024 bits ?</a></li>
 </ul>
 
 <section id="random"><title>Pourquoi de nombreuses et al&eacute;atoires erreurs de
@@ -808,6 +812,46 @@ SetEnvIf User-Agent "MSIE [2-5]" \
     </example>
 </section>
 
+<section id="javadh"><title>Pourquoi des erreurs de n&eacute;gociation apparaissent
+avec les clients bas&eacute;s sur Java lorsqu'on utilise un certificat de plus
+de 1024 bits ?</title>
+    <p>Depuis la version 2.4.7,
+    <module>mod_ssl</module> utilise des param&egrave;tres DH qui comportent
+    des nombres premiers de plus de 1024 bits. Cependant, java 7 et ses versions
+    ant&eacute;rieures ne supportent que les nombres premiers DH d'une longueur
+    maximale de 1024 bits.</p>
+
+    <p>Si votre client bas&eacute; sur Java s'arr&ecirc;te avec une exception telle
+    que <code>java.lang.RuntimeException: Could not generate DH
+    keypair</code> et
+    <code>java.security.InvalidAlgorithmParameterException: Prime size
+    must be multiple of 64, and can only range from 512 to 1024
+    (inclusive)</code>, et si httpd enregistre le message <code>tlsv1
+    alert internal error (SSL alert number 80)</code> dans son journal
+    des erreurs (avec un <directive module="core">LogLevel</directive>
+    <code>info</code> ou sup&eacute;rieur), vous pouvez soit r&eacute;arranger la
+    liste d'algorithmes de mod_ssl via la directive <directive
+    module="mod_ssl">SSLCipherSuite</directive> (&eacute;ventuellement en
+    conjonction avec la directive <directive
+    module="mod_ssl">SSLHonorCipherOrder</directive>), soit utiliser la
+    directive <directive module="mod_ssl">SSLCertificateFile</directive>
+    pour configurer des param&egrave;tres DH personnalis&eacute;s avec un nombre
+    premier de 1024 bits, param&egrave;tres qui seront toujours prioritaires
+    par rapport &agrave; tout autre param&egrave;tre DH par d&eacute;faut.</p>
+
+    <p>Pour g&eacute;n&eacute;rer des param&egrave;tres DH personnalis&eacute;s, utilisez la
+    commande <code>openssl dhparam</code>. Vous pouvez aussi ajouter les
+    param&egrave;tres DH standards issus de la <a
+    href="http://www.ietf.org/rfc/rfc2409.txt">RFC 2409</a>, section 6.2
+    au fichier <directive module="ssl">SSLCertificateFile</directive>
+    consid&eacute;r&eacute; :</p>
+    <example><pre>-----BEGIN DH PARAMETERS-----
+MIGHAoGBAP//////////yQ/aoiFowjTExmKLgNwc0SkCTgiKZ8x0Agu+pjsTmyJR
+Sgh5jjQE3e+VGbPNOkMbMCsKbfJfFDdP4TVtbVHCReSFtXZiXn7G9ExC6aY37WsL
+/1y29Aa37e44a/taiZ+lrp8kEXxLH+ZJKGZR7OZTgf//////////AgEC
+-----END DH PARAMETERS-----</pre></example>
+</section>
+
 </section>
 <!-- /aboutssl -->
 
-- 
2.40.0