From 6fa20f99b998e4f7750c825e0eda719965f7d5f1 Mon Sep 17 00:00:00 2001 From: Lucien Gentis Date: Sat, 5 Mar 2016 16:00:43 +0000 Subject: [PATCH] XML updates. git-svn-id: https://svn.apache.org/repos/asf/httpd/httpd/branches/2.4.x@1733732 13f79535-47bb-0310-9956-ffa450edef68 --- docs/manual/expr.xml.fr | 381 ++-- docs/manual/howto/index.xml.fr | 84 +- docs/manual/index.xml.fr | 54 +- docs/manual/mod/mod_proxy_balancer.xml.fr | 311 +-- docs/manual/mod/mod_ssl.xml.fr | 2150 +++++++++++---------- docs/manual/rewrite/rewritemap.xml.fr | 330 ++-- docs/manual/sitemap.xml.fr | 118 +- 7 files changed, 1736 insertions(+), 1692 deletions(-) diff --git a/docs/manual/expr.xml.fr b/docs/manual/expr.xml.fr index 1650323772..1e72c2fb51 100644 --- a/docs/manual/expr.xml.fr +++ b/docs/manual/expr.xml.fr @@ -1,7 +1,7 @@ - + - + @@ -29,15 +29,15 @@

Historiquement, il existe de nombreuses variantes dans la syntaxe des expressions permettant d'exprimer une condition dans les - différents modules du serveur HTTP Apache. À ce titre, des travaux sont - en cours pour n'utiliser qu'une seule variante nommée + différents modules du serveur HTTP Apache. À ce titre, des travaux sont + en cours pour n'utiliser qu'une seule variante nommée ap_expr, pour toutes les directives de configuration. Ce - document décrit l'interpréteur d'expressions ap_expr. + document décrit l'interpréteur d'expressions ap_expr.

-

Le type d'expression ap_expr est appelé à remplacer la +

Le type d'expression ap_expr est appelé à remplacer la plupart des autres types d'expressions dans HTTPD. Par exemple, la - directive obsolète SSLRequire peut être remplacée par la + directive obsolète SSLRequire peut être remplacée par la directive Require expr.

@@ -48,6 +48,9 @@ ElseIf Else ErrorDocument +Alias +ScriptAlias +Redirect AuthBasicFake AuthFormLoginRequiredLocation AuthFormLoginSuccessLocation @@ -74,14 +77,14 @@
Syntaxe en Forme de Backus-Naur

La Forme de Backus-Naur - (souvent abrégée en BNF, de l'anglais Backus-Naur Form) est une notation permettant de décrire - les règles syntaxiques des langages de programmation. En - général, les expressions représentent des valeurs booléennes. Dans - ce cas, le point de départ de la BNF est expr. + (souvent abrégée en BNF, de l'anglais Backus-Naur Form) est une notation permettant de décrire + les règles syntaxiques des langages de programmation. En + général, les expressions représentent des valeurs booléennes. Dans + ce cas, le point de départ de la BNF est expr. Cependant, certaines directives comme LogMessage utilisent comme - paramètres des expressions qui représentent des chaînes de - caractères. Dans ce cas, le point de départ de la BNF est + paramètres des expressions qui représentent des chaînes de + caractères. Dans ce cas, le point de départ de la BNF est string.

@@ -154,21 +157,21 @@ listfunction ::= listfuncname "(" word ")"
Variables -

L'interpréteur d'expressions fournit plusieurs variables de la +

L'interpréteur d'expressions fournit plusieurs variables de la forme %{HTTP_HOST}. Notez que la valeur d'une variable - peut dépendre de la phase du traitement de la requête au cours de - laquelle elle est évaluée. Par exemple, une expression utilisée dans - une directive <If > sera évaluée avant - la phase d'authentification. Par conséquent, la variable - %{REMOTE_USER} ne sera pas encore définie à ce stade.

- -

Les variables suivantes contiennent la valeur de l'en-tête de - requête HTTP correspondant. La fonction + peut dépendre de la phase du traitement de la requête au cours de + laquelle elle est évaluée. Par exemple, une expression utilisée dans + une directive <If > sera évaluée avant + la phase d'authentification. Par conséquent, la variable + %{REMOTE_USER} ne sera pas encore définie à ce stade.

+ +

Les variables suivantes contiennent la valeur de l'en-tête de + requête HTTP correspondant. La fonction req permet d'extraire les valeurs des autres - en-têtes. L'utilisation de ces variables peut provoquer - l'ajout du nom d'en-tête correspondant à l'en-tête Vary de la - réponse HTTP, sauf spécification contraire pour la directive - qui accepte l'expression comme paramètre. La function req_novary permet de modifier ce comportement.

@@ -186,70 +189,70 @@ listfunction ::= listfuncname "(" word ")" -

Autres variables liées aux requêtes

+

Autres variables liées aux requêtes

- - + - + - + - + - - + - - + - + - - + - + - - + - - + - + généré la réponse - - - - @@ -300,7 +303,7 @@ listfunction ::= listfuncname "(" word ")" - + @@ -313,32 +316,32 @@ listfunction ::= listfuncname "(" word ")" - - +
NomDescription
REQUEST_METHODLa méthode HTTP de la requête entrante (par exemple + La méthode HTTP de la requête entrante (par exemple GET)
REQUEST_SCHEMELe protocole associé à l'URI de la requête
Le protocole associé à l'URI de la requête
REQUEST_URILa partie chemin de l'URI de la requête
La partie chemin de l'URI de la requête
DOCUMENT_URI Idem REQUEST_URI
REQUEST_FILENAMELe chemin complet dans le système de fichiers local du - fichier ou du script correspondant à la requête, si le serveur - l'a dèjà déterminé à l'instant où REQUEST_FILENAME - est référencée. Dans le cas contraire, comme dans un - contexte de serveur virtuel, même valeur que REQUEST_URI
Le chemin complet dans le système de fichiers local du + fichier ou du script correspondant à la requête, si le serveur + l'a dèjà déterminé à l'instant où REQUEST_FILENAME + est référencée. Dans le cas contraire, comme dans un + contexte de serveur virtuel, même valeur que REQUEST_URI
SCRIPT_FILENAMEIdentique à REQUEST_FILENAME
Identique à REQUEST_FILENAME
LAST_MODIFIEDLa date et heure de dernière modification du fichier au - format 20101231235959, si elle est déjà connue du - serveur au moment où LAST_MODIFIED est référencé. + La date et heure de dernière modification du fichier au + format 20101231235959, si elle est déjà connue du + serveur au moment où LAST_MODIFIED est référencé.
SCRIPT_USERLe nom d'utilisateur du propriétaire du script.
Le nom d'utilisateur du propriétaire du script.
SCRIPT_GROUP Le nom du groupe auquel appartient le script.
PATH_INFOL'information relative au nom de chemin située en fin, voir + L'information relative au nom de chemin située en fin, voir la directive AcceptPathInfo
QUERY_STRINGLa chaîne de paramètres de la requête courante
La chaîne de paramètres de la requête courante
IS_SUBREQ"true" si la requête courante est une - sous-requête, "false" dans le cas contraire
"true" si la requête courante est une + sous-requête, "false" dans le cas contraire
THE_REQUESTLa requête complète (par exemple "GET /index.html + La requête complète (par exemple "GET /index.html HTTP/1.1")
REMOTE_ADDRL'adresse IP de l'hôte distant
L'adresse IP de l'hôte distant
REMOTE_HOSTLe nom d'hôte de l'hôte distant
Le nom d'hôte de l'hôte distant
REMOTE_USERLe nom de l'utilisateur authentifié, s'il existe (non - disponible à l'intérieur d'un bloc <If + Le nom de l'utilisateur authentifié, s'il existe (non + disponible à l'intérieur d'un bloc <If >)
REMOTE_IDENTLe nom de l'utilisateur défini par mod_ident
Le nom de l'utilisateur défini par mod_ident
SERVER_NAME La valeur de la directive ServerName du serveur virtuel courant
SERVER_PORTLe port associé au serveur virtuel courant ; voir la + Le port associé au serveur virtuel courant ; voir la directive ServerName
SERVER_ADMIN La valeur de la directive ServerAdmin du serveur virtuel courant
SERVER_PROTOCOLLe protocole utilisé par la requête
Le protocole utilisé par la requête
DOCUMENT_ROOT La valeur de la directive DocumentRoot du serveur virtuel @@ -259,28 +262,28 @@ listfunction ::= listfuncname "(" word ")" module="mod_authn_core">AuthType (par exemple "basic")
CONTENT_TYPELe type de contenu de la réponse (non - disponible à l'intérieur d'un bloc <If + Le type de contenu de la réponse (non + disponible à l'intérieur d'un bloc <If >)
HANDLER Le nom du gestionnaire qui a - généré la réponse
HTTPS"on" si la requête utilise https, + "on" si la requête utilise https, "off" dans le cas contraire
IPV6 "on" si la connexion utilise IPv6, "off" dans le cas contraire
REQUEST_STATUSLe code d'erreur HTTP de la requête (non - disponible à l'intérieur d'un bloc <If + Le code d'erreur HTTP de la requête (non + disponible à l'intérieur d'un bloc <If >)
REQUEST_LOG_IDL'identifiant du message d'erreur associé à la requête (voir + L'identifiant du message d'erreur associé à la requête (voir la directive ErrorLogFormat)
CONN_LOG_IDL'identifiant du message d'erreur associé à la connexion + L'identifiant du message d'erreur associé à la connexion (voir la directive ErrorLogFormat)
CONN_REMOTE_ADDR
NomDescription
TIME_YEARL'année courante (par exemple 2010)
L'année courante (par exemple 2010)
TIME_MON Le mois courant (1, ..., 12)
TIME_DAY
TIME_SEC Les secondes de la date courante
TIME_WDAYLe jour de la semaine (à partir de 0 pour + Le jour de la semaine (à partir de 0 pour dimanche)
TIME La date et heure au format 20101231235959
SERVER_SOFTWARELa chaîne contenant la version du serveur
La chaîne contenant la version du serveur
API_VERSION La date de la version de l'API (module magic number)
-

Certains modules, comme mod_ssl, définissent des - variables supplémentaires.

+

Certains modules, comme mod_ssl, définissent des + variables supplémentaires.

- Opérateurs binaires + Opérateurs binaires -

À l'exception de quelques opérateurs de comparaison internes, les - opérateurs binaires sont de la forme +

À l'exception de quelques opérateurs de comparaison internes, les + opérateurs binaires sont de la forme "-[a-zA-Z][a-zA-Z0-9_]+", autrement dit un signe moins - et au moins deux caractères. Le nom est insensible à la casse. Les - modules peuvent fournir des opérateurs binaires supplémentaires.

+ et au moins deux caractères. Le nom est insensible à la casse. Les + modules peuvent fournir des opérateurs binaires supplémentaires.

- Opérateurs de comparaison + Opérateurs de comparaison @@ -346,129 +349,129 @@ listfunction ::= listfuncname "(" word ")" - + - + - + - + - + - + - + - + - + - + - + - +
NomAlternative Description
== =Egalité de chaînes
Egalité de chaînes
!= Inégalité de chaînes
Inégalité de chaînes
< Chaîne inférieure à
Chaîne inférieure à
<= Chaîne inférieure ou égale à
Chaîne inférieure ou égale à
> Chaîne supérieure à
Chaîne supérieure à
>= Chaîne supérieure ou égale à
Chaîne supérieure ou égale à
-eq eqEgalité d'entiers
Egalité d'entiers
-ne neInégalité d'entiers
Inégalité d'entiers
-lt ltEntier inférieur à
Entier inférieur à
-le leEntier inférieur ou égal à
Entier inférieur ou égal à
-gt gtEntier supérieur à
Entier supérieur à
-ge geEntier supérieur ou égal à
Entier supérieur ou égal à
- Autres opérateurs binaires + Autres opérateurs binaires - + - + - + + pris en compte par les caractères génériques
NomDescription
-ipmatchL'adresse IP correspond à adresse/masque
L'adresse IP correspond à adresse/masque
-strmatchla chaîne de gauche correspond au modèle constitué par la - chaîne de droite (contenant des caractères génériques *, ?, [])
la chaîne de gauche correspond au modèle constitué par la + chaîne de droite (contenant des caractères génériques *, ?, [])
-strcmatchidem -strmatch, mais insensible à la casse
idem -strmatch, mais insensible à la casse
-fnmatch idem -strmatch, mais les slashes ne sont pas - pris en compte par les caractères génériques
- Opérateurs unaires + Opérateurs unaires -

Les opérateurs unaires acceptent un seul argument et sont +

Les opérateurs unaires acceptent un seul argument et sont de la forme "-[a-zA-Z]", - autrement dit le signe moins et un caractère. Le nom est - sensible à la casse. Les modules peuvent fournir des opérateurs - unaires supplémentaires.

+ autrement dit le signe moins et un caractère. Le nom est + sensible à la casse. Les modules peuvent fournir des opérateurs + unaires supplémentaires.

- + - - + - - - + - - - + - + - + (insensibilité à la casse). Vrai dans le cas contraire.
NomDescriptionRestreint
-dL'argument est traité comme un nom de fichier. - Vrai si le fichier existe et correspond à un - répertoireoui
L'argument est traité comme un nom de fichier. + Vrai si le fichier existe et correspond à un + répertoireoui
-eL'argument est traité comme un nom de fichier. Vrai si le + L'argument est traité comme un nom de fichier. Vrai si le fichier (ou dir ou special) existeoui
-fL'argument est traité comme un nom de fichier. Vrai si le - fichier existe et correspond à un fichier - régulieroui
L'argument est traité comme un nom de fichier. Vrai si le + fichier existe et correspond à un fichier + régulieroui
-sL'argument est traité comme un nom de fichier. Vrai si le + L'argument est traité comme un nom de fichier. Vrai si le fichier existe et n'est pas videoui
-LL'argument est traité comme un nom de fichier. Vrai si le - fichier existe et correspond à un lien + L'argument est traité comme un nom de fichier. Vrai si le + fichier existe et correspond à un lien symboliqueoui
-hL'argument est traité comme un nom de fichier. Vrai si le - fichier existe et correspond à un lien symbolique - (identique à -L)oui
L'argument est traité comme un nom de fichier. Vrai si le + fichier existe et correspond à un lien symbolique + (identique à -L)oui
-FVrai si la chaîne correspond a un fichier valide, accessible - avec tous les contrôles d'accès configurés pour ce chemin. A - cette fin, une sous-requête effectue la vérification, et vous + Vrai si la chaîne correspond a un fichier valide, accessible + avec tous les contrôles d'accès configurés pour ce chemin. A + cette fin, une sous-requête effectue la vérification, et vous devez utiliser ce drapeau avec soin car il peut impacter les performances de votre serveur !
-UVrai si la chaîne correspond a une URL valide, accessible - avec tous les contrôles d'accès configurés pour ce chemin. A - cette fin, une sous-requête effectue la vérification, et vous + Vrai si la chaîne correspond a une URL valide, accessible + avec tous les contrôles d'accès configurés pour ce chemin. A + cette fin, une sous-requête effectue la vérification, et vous devez utiliser ce drapeau avec soin car il peut impacter les performances de votre serveur !
-A Alias pour -U
-nVrai si la chaîne n'est pas vide
Vrai si la chaîne n'est pas vide
-zVrai si la chaîne est vide
Vrai si la chaîne est vide
-TFaux si la chaîne est vide, "0", + Faux si la chaîne est vide, "0", "off", "false", ou "no" - (insensibilité à la casse). Vrai dans le cas contraire.
-R Idem "%{REMOTE_ADDR} -ipmatch ...", en plus efficace
-

Les opérateurs marqués comme "restreints" ne sont pas disponibles +

Les opérateurs marqués comme "restreints" ne sont pas disponibles avec certains modules comme mod_include.

@@ -476,90 +479,90 @@ listfunction ::= listfuncname "(" word ")"
Fonctions -

Normalement, les fonctions dont la valeur est une chaîne acceptent une chaîne - comme argument et renvoient une chaîne. Les noms de fonctions sont - insensibles à la casse. Les modules peuvent fournir des fonctions - supplémentaires.

+

Normalement, les fonctions dont la valeur est une chaîne acceptent une chaîne + comme argument et renvoient une chaîne. Les noms de fonctions sont + insensibles à la casse. Les modules peuvent fournir des fonctions + supplémentaires.

- - + - + - - - + - - + - + - + - + - + - + - + - + + pas ou ne correspond pas à un fichier régulier)
NomDescriptionRestreint
req, httpLit l'en-tête de requête HTTP ; les noms - d'en-tête correspondants peuvent être ajoutés - à l'en-tête Vary, + Lit l'en-tête de requête HTTP ; les noms + d'en-tête correspondants peuvent être ajoutés + à l'en-tête Vary, voir ci-dessous
req_novaryIdentique à req, mais aucun nom d'en-tête n'est - ajouté à l'en-tête Vary
Identique à req, mais aucun nom d'en-tête n'est + ajouté à l'en-tête Vary
respLit l'en-tête de réponse HTTP
Lit l'en-tête de réponse HTTP
reqenvRecherche une variable d'environnement de requête (on + Recherche une variable d'environnement de requête (on peut aussi utiliser le raccourci v).
osenvRecherche une variable d'environnement du système + Recherche une variable d'environnement du système d'exploitation
noteRecherche une note de requête
Recherche une note de requête
envRenvoie le premier résultat positif de note, + Renvoie le premier résultat positif de note, reqenv, osenv
tolowerConvertit une chaîne en minuscules
Convertit une chaîne en minuscules
toupperConvertit une chaîne en majuscules
Convertit une chaîne en majuscules
escapeEchappe les caractères spéciaux en codage hexadécimal
Echappe les caractères spéciaux en codage hexadécimal
unescape"Déséchappe" les chaînes codées - en hexadécimal, en ne gardant encodés que les slashes; renvoie la chaîne vide - si la séquence %00 est rencontrée
"Déséchappe" les chaînes codées + en hexadécimal, en ne gardant encodés que les slashes; renvoie la chaîne vide + si la séquence %00 est rencontrée
base64Encode la chaîne en base64
Encode la chaîne en base64
unbase64Décode les chaînes codées en base64, renvoie une chaîne - tronquée si le caractère 0x00 est rencontré
Décode les chaînes codées en base64, renvoie une chaîne + tronquée si le caractère 0x00 est rencontré
md5Génère un hash de la chaîne en utilisant MD5, puis code le - hash obtenu en hexadécimal
Génère un hash de la chaîne en utilisant MD5, puis code le + hash obtenu en hexadécimal
sha1Génère un hash de la chaîne en utilisant SHA1, puis encode - le hash obtenu en hexadécimal
Génère un hash de la chaîne en utilisant SHA1, puis encode + le hash obtenu en hexadécimal
file Lit le contenu d'un fichier(fins de lignes incluses, si elles existent)oui
filesize Renvoie la taille d'un fichier (ou 0 si le fichier n'existe - pas ou ne correspond pas à un fichier régulier)oui
oui
-

Les fonctions marquées comme "restreints" ne sont pas disponibles +

Les fonctions marquées comme "restreints" ne sont pas disponibles avec certains modules comme mod_include.

Lorsque les fonctions req ou http sont - utilisées, le nom d'en-tête sera automatiquement ajouté à l'en-tête - Vary de la réponse HTTP, sauf spécification contraire pour la - directive qui accepte l'expression comme paramètre. La - fonction req_novary permet d'empêcher l'ajout de noms - d'en-têtes à l'en-tête Vary.

+ utilisées, le nom d'en-tête sera automatiquement ajouté à l'en-tête + Vary de la réponse HTTP, sauf spécification contraire pour la + directive qui accepte l'expression comme paramètre. La + fonction req_novary permet d'empêcher l'ajout de noms + d'en-têtes à l'en-tête Vary.

-

En plus des fonctions dont la valeur est une chaîne, il existe +

En plus des fonctions dont la valeur est une chaîne, il existe aussi des fonctions dont la valeur est une liste, qui acceptent une - chaîne comme argument, et renvoient une liste de mots, autrement dit - une liste de chaînes. La liste de mot peut être utilisée avec - l'opérateur spécial -in. Les noms de fonctions sont - insensibles à la casse. Les modules peuvent fournir des fonctions - supplémentaires.

+ chaîne comme argument, et renvoient une liste de mots, autrement dit + une liste de chaînes. La liste de mot peut être utilisée avec + l'opérateur spécial -in. Les noms de fonctions sont + insensibles à la casse. Les modules peuvent fournir des fonctions + supplémentaires.

Il n'existe pas de fonctions internes dont la valeur est une liste. Le module mod_ssl fournit la fonction PeerExtList. Voir la description de la directive SSLRequire pour plus de - détails (notez que la fonction PeerExtList peut aussi - être utilisée en dehors de la directive PeerExtList peut aussi + être utilisée en dehors de la directive SSLRequire).

@@ -567,40 +570,40 @@ listfunction ::= listfuncname "(" word ")" Exemples d'expressions

Les exemples suivants montent comment utiliser les - expressions pour évaluer les requêtes :

+ expressions pour évaluer les requêtes :

-# Comparer le nom d'hôte avec example.com et rediriger vers -# www.example.com si le nom d'hôte correspond +# Comparer le nom d'hôte avec example.com et rediriger vers +# www.example.com si le nom d'hôte correspond <If "%{HTTP_HOST} == 'example.com'"> Redirect permanent "/" "http://www.example.com/" </If> # Forcer le type text/plain si un fichier fait l'objet d'une -# requête dont la chaîne de paramètres contient 'forcetext' +# requête dont la chaîne de paramètres contient 'forcetext' <If "%{QUERY_STRING} =~ /forcetext/"> ForceType text/plain </If> -# N'autoriser l'accès à ce contenu que pendant les heures de +# N'autoriser l'accès à ce contenu que pendant les heures de # travail <Directory "/foo/bar/business"> Require expr %{TIME_HOUR} -gt 9 && %{TIME_HOUR} -lt 17 </Directory> -# Vérifie si un en-tête HTTP correspond à une des valeurs d'une liste +# Vérifie si un en-tête HTTP correspond à une des valeurs d'une liste <If "%{HTTP:X-example-header} in { 'foo', 'bar', 'baz' }"> - La définition de l'en-tête correspond à une des valeurs recherchées + La définition de l'en-tête correspond à une des valeurs recherchées </If> # Recherche la valeur d'une expression rationnelle dans une variable -# d'environnement, et renvoie la négation du résultat. +# d'environnement, et renvoie la négation du résultat. <If "! reqenv('REDIRECT_FOO') =~ /bar/"> - La condition est vérifiée + La condition est vérifiée </If> -# Vérifie le résultat de la recherche d'une correspondance d'URI dans un -# contexte de répertoire avec l'option -f +# Vérifie le résultat de la recherche d'une correspondance d'URI dans un +# contexte de répertoire avec l'option -f <Directory "/var/www"> AddEncoding x-gzip gz <If "-f '%{REQUEST_FILENAME}.unzipme' && ! %{HTTP:Accept-Encoding} =~ /gzip/"> @@ -608,7 +611,7 @@ listfunction ::= listfuncname "(" word ")" </If> </Directory> -# Exemples de fonctions dans un contexte booléen +# Exemples de fonctions dans un contexte booléen <If "md5('foo') == 'acbd18db4cc2f85cedef654fccc4a4d8'"> Header set checksum-matched true </If> @@ -619,7 +622,7 @@ listfunction ::= listfuncname "(" word ")" # Function example in string context Header set foo-checksum "expr=%{md5:foo}" -# L'exemple suivant retarde l'évaluation de la clause de condition par rapport à +# L'exemple suivant retarde l'évaluation de la clause de condition par rapport à # <If> Header always set CustomHeader my-value "expr=%{REQUEST_URI} =~ m#^/special_path.php$#" @@ -635,27 +638,27 @@ Header always set CustomHeader my-value "expr=%{REQUEST_URI} =~ m#^/special_path NomAlternative Description -in in - chaîne contenue dans une liste de mots + chaîne contenue dans une liste de mots /regexp/ m#regexp# - Expression rationnelle (la seconde forme permet de spécifier - des délimiteurs autres que /) + Expression rationnelle (la seconde forme permet de spécifier + des délimiteurs autres que /) /regexp/i m#regexp#i - Expression rationnelle insensible à la casse + Expression rationnelle insensible à la casse $0 ... $9 - Références arrières dans les expressions rationnelles + Références arrières dans les expressions rationnelles
- Références arrières dans les expressions rationnelles -

Les chaînes $0 ... $9 permettent de - référencer les groupes de capture en provenance d'expressions - rationnelles précédemment exécutées et mises en correspondance avec - succès. Elles ne peuvent normalement être utilisées que dans la - même expression que celle mise en correspondance, mais certains - modules permettent de les utiliser de manière spéciale.

+ Références arrières dans les expressions rationnelles +

Les chaînes $0 ... $9 permettent de + référencer les groupes de capture en provenance d'expressions + rationnelles précédemment exécutées et mises en correspondance avec + succès. Elles ne peuvent normalement être utilisées que dans la + même expression que celle mise en correspondance, mais certains + modules permettent de les utiliser de manière spéciale.

@@ -663,16 +666,16 @@ Header always set CustomHeader my-value "expr=%{REQUEST_URI} =~ m#^/special_path
Comparaison avec SSLRequire

La syntaxe ap_expr consiste principalement en une - surcouche de la syntaxe de la directive obsolète SSLRequire. Vous pouvez consulter la - liste de leur différences dans la documentation de la directive + liste de leur différences dans la documentation de la directive SSLRequire.

Historique de version

La fonction req_novary est - disponible à partir de la version 2.4.4 du serveur HTTP Apache.

+ disponible à partir de la version 2.4.4 du serveur HTTP Apache.

diff --git a/docs/manual/howto/index.xml.fr b/docs/manual/howto/index.xml.fr index ad9126d2d6..8ca01d1dfb 100644 --- a/docs/manual/howto/index.xml.fr +++ b/docs/manual/howto/index.xml.fr @@ -1,7 +1,7 @@ - + - + @@ -34,25 +34,25 @@
Authentification et autorisation
-

L'authentification représente tout processus par lequel vous - vérifiez si quelqu'un correspond bien à la personne qu'il - prétend être. L'autorisation représente tout processus - permettant de savoir si une personne est autorisée à aller là où - elle veut aller, ou à obtenir les informations qu'elle demande.

+

L'authentification représente tout processus par lequel vous + vérifiez si quelqu'un correspond bien à la personne qu'il + prétend être. L'autorisation représente tout processus + permettant de savoir si une personne est autorisée à aller là où + elle veut aller, ou à obtenir les informations qu'elle demande.

Voir Authentification, Autorisation

-
Contrôle d'accès
+
Contrôle d'accès
-

Le contrôle d'accès se réfère au processus permettant - d'interdire ou d'accorder l'accès à une ressource en fonction de - certains critères, et il existe de nombreuses façons d'y +

Le contrôle d'accès se réfère au processus permettant + d'interdire ou d'accorder l'accès à une ressource en fonction de + certains critères, et il existe de nombreuses façons d'y parvenir.

-

Voir Contrôle d'accès

+

Voir Contrôle d'accès

@@ -60,13 +60,13 @@
Contenu dynamique avec CGI

L'interface CGI (Common Gateway Interface) - fournit au serveur web une méthode d'interaction avec des - programmes externes générateurs de contenu, souvent nommés - programmes CGI ou scripts CGI. Il s'agit d'une méthode + fournit au serveur web une méthode d'interaction avec des + programmes externes générateurs de contenu, souvent nommés + programmes CGI ou scripts CGI. Il s'agit d'une méthode simple permettant d'ajouter du contenu - dynamique à votre site web. Ce document se veut une introduction - à la configuration de CGI sur votre serveur web Apache et à - l'écriture de programmes CGI.

+ dynamique à votre site web. Ce document se veut une introduction + à la configuration de CGI sur votre serveur web Apache et à + l'écriture de programmes CGI.

Voir CGI : contenu dynamique

@@ -76,24 +76,24 @@
Fichiers .htaccess

Les fichiers .htaccess permettent de modifier la - configuration du serveur au niveau de chaque répertoire. À cet - effet, un fichier est placé dans un répertoire particulier du site - web, et les directives de configuration qu'il contient s'appliquent à ce - répertoire et à tous ses sous-répertoires.

+ configuration du serveur au niveau de chaque répertoire. À cet + effet, un fichier est placé dans un répertoire particulier du site + web, et les directives de configuration qu'il contient s'appliquent à ce + répertoire et à tous ses sous-répertoires.

Voir Fichiers .htaccess

-
Introduction au Inclusions côté Serveur (Server Side Includes +
Introduction au Inclusions côté Serveur (Server Side Includes ou SSI)

Les SSI sont des directives que l'on place dans des pages - HTML, et qui sont évaluées par le serveur lorsque ces pages sont - servies. Elles vous permettent d'ajouter du contenu généré - dynamiquement à une page HTML existante, sans avoir à servir - l'intégralité de la page via un programme CGI, ou toute autre + HTML, et qui sont évaluées par le serveur lorsque ces pages sont + servies. Elles vous permettent d'ajouter du contenu généré + dynamiquement à une page HTML existante, sans avoir à servir + l'intégralité de la page via un programme CGI, ou toute autre technologie dynamique.

Voir Server Side Includes (SSI)

@@ -101,20 +101,36 @@
-
Répertoires web de l'utilisateur
+
Répertoires web de l'utilisateur
-

Sur les systèmes multi-utilisateurs, vous pouvez permettre à - chaque utilisateur d'avoir un site web dans son répertoire home +

Sur les systèmes multi-utilisateurs, vous pouvez permettre à + chaque utilisateur d'avoir un site web dans son répertoire home via la directive UserDir. Les visiteurs de l'URL http://example.com/~nom-utilisateur/ vont recevoir - du contenu situé dans le répertoire home de l'utilisateur - "nom-utilisateur", et dans le sous-répertoire - spécifié par la directive nom-utilisateur", et dans le sous-répertoire + spécifié par la directive UserDir.

Voir Répertoires web des utilisateurs (public_html)

+ >Répertoires web des utilisateurs (public_html)

+
+
+
+
Mandataires inverses
+
+

Apache httpd possède des fonctionnalités évoluées de serveur + mandataire inverse via ses directives ProxyPass et BalancerMember qui permettent + d'implémenter un système de mandataire inverse sophistiqué garantissant + une haute disponibilité, une répartition et une réattribution de charge, + un regroupement de serveurs en grappe (clustering) basé sur le cloud et + une reconfiguration dynamique à la volée.

+ +

Voir le Guide de configuration des + mandataires inverses

diff --git a/docs/manual/index.xml.fr b/docs/manual/index.xml.fr index b2a2b01ed7..b5319b8070 100644 --- a/docs/manual/index.xml.fr +++ b/docs/manual/index.xml.fr @@ -1,9 +1,9 @@ - + - + + @@ -26,7 +26,7 @@ mod_proxy_balancer Extension de mod_proxy pour le support de -la répartition de charge +la répartition de charge Extension mod_proxy_balancer.c proxy_balancer_module @@ -34,76 +34,83 @@ la répartition de charge

Pour pouvoir fonctionner, ce module requiert le - chargement de mod_proxy. Il fournit le support de - la répartition de charge pour les protocoles HTTP, - FTP et AJP13. -

- -

L'algorithme de planification de la répartition de charge est - fourni par des modules tels que - mod_lbmethod_byrequests, - mod_lbmethod_bytraffic, - mod_lbmethod_bybusyness and - mod_lbmethod_heartbeat. -

- -

Ainsi, pour mettre en oeuvre la répartition de charge, + chargement de mod_proxy, et il fournit le support de + la répartition de charge pour tous les protocoles supportés. Parmi ces + protocoles, les plus importants sont :

+
    +
  • HTTP, avec le module mod_proxy_http
    • +
  • FTP, avec le module mod_proxy_ftp
    • +
  • AJP13, avec le module mod_proxy_ajp
    • +
  • WebSocket, avec le module mod_proxy_wstunnel
    • +
+ + +

L'algorithme de planification de la répartition de charge n'est pas + fourni par ce module, mais par ceux-ci :

+
    +
  • mod_lbmethod_byrequests
    • +
  • mod_lbmethod_bytraffic
    • +
  • mod_lbmethod_bybusyness
    • +
  • mod_lbmethod_heartbeat
    • +
+ +

Ainsi, pour mettre en oeuvre la répartition de charge, mod_proxy, mod_proxy_balancer et au moins un des modules fournissant l'algorithme de planification de - la répartition de charge doivent être chargés dans le serveur.

+ la répartition de charge doivent être chargés dans le serveur.

Avertissement -

N'activez pas la fonctionnalité de mandataire avant d'avoir sécurisé votre serveur. Les +

N'activez pas la fonctionnalité de mandataire avant d'avoir sécurisé votre serveur. Les serveurs mandataires ouverts sont dangereux non seulement pour - votre réseau, mais aussi pour l'Internet au sens large.

+ votre réseau, mais aussi pour l'Internet au sens large.

 mod_proxy
- L'algorithme de planification de la répartition de + <title>L'algorithme de planification de la répartition de charge

A l'heure actuelle, 3 algorithmes de planification de la - répartition de charge sont disponibles : ils se basent - respectivement sur le comptage des requêtes, la mesure du trafic et - le comptage des requêtes en attente. Ils sont contrôlés par la - valeur de lbmethod dans la définition du répartiteur. + répartition de charge sont disponibles : ils se basent + respectivement sur le comptage des requêtes, la mesure du trafic et + le comptage des requêtes en attente. Ils sont contrôlés par la + valeur de lbmethod dans la définition du répartiteur. Voir la directive ProxyPass pour plus de détails, et en - particulier la configuration du répartiteur et de ses membres.

+ module="mod_proxy">ProxyPass pour plus de détails, et en + particulier la configuration du répartiteur et de ses membres.

- Répartition de charge avec abonnement utilisateur + <title>Répartition de charge avec abonnement utilisateur (stickyness) -

Le répartiteur supporte l'abonnement utilisateur. Lorsqu'une - requête est mandatée vers un serveur d'arrière-plan particulier, - toutes les requêtes suivantes du même utilisateur seront alors - mandatées vers le même serveur d'arrière-plan. De nombreux - répartiteurs de charge implémentent cette fonctionnalité via une +

Le répartiteur supporte l'abonnement utilisateur. Lorsqu'une + requête est mandatée vers un serveur d'arrière-plan particulier, + toutes les requêtes suivantes du même utilisateur seront alors + mandatées vers le même serveur d'arrière-plan. De nombreux + répartiteurs de charge implémentent cette fonctionnalité via une table qui associe les adresses IP des clients aux serveurs - d'arrière-plan. Cette approche est transparente aux clients et aux - serveurs d'arrière-plan, mais induit certains problèmes : - distribution de charge inégale si les clients se trouvent eux-mêmes - derrière un mandataire, erreurs d'abonnement lorsqu'un client - possède une adresse IP dynamique qui peut changer au cours d'une - session et perte d'abonnement en cas de dépassement de la table de + d'arrière-plan. Cette approche est transparente aux clients et aux + serveurs d'arrière-plan, mais induit certains problèmes : + distribution de charge inégale si les clients se trouvent eux-mêmes + derrière un mandataire, erreurs d'abonnement lorsqu'un client + possède une adresse IP dynamique qui peut changer au cours d'une + session et perte d'abonnement en cas de dépassement de la table de correspondances.

-

Le module mod_proxy_balancer implémente +

Le module mod_proxy_balancer implémente l'abonnement selon deux alternatives : les cookies et le codage - d'URL. Le cookie peut être fourni par le serveur d'arrière-plan ou - par le serveur web Apache lui-même, alors que le codage d'URL est en - général effectué par le serveur d'arrière-plan.

+ d'URL. Le cookie peut être fourni par le serveur d'arrière-plan ou + par le serveur web Apache lui-même, alors que le codage d'URL est en + général effectué par le serveur d'arrière-plan.

- Exemples de configuration d'un répartiteur -

Avant de nous plonger dans les détails techniques, voici un + Exemples de configuration d'un répartiteur +

Avant de nous plonger dans les détails techniques, voici un exemple d'utilisation de mod_proxy_balancer mettant - en oeuvre la répartition de charge entre deux serveurs - d'arrière-plan : + en oeuvre la répartition de charge entre deux serveurs + d'arrière-plan :

@@ -116,10 +123,10 @@ ProxyPassReverse "/test" "balancer://mycluster" -

Voici un autre exemple de répartiteur de charge avec +

Voici un autre exemple de répartiteur de charge avec abonnement utilisant mod_headers, - fonctionnant même si le serveur d'arrière-plan ne définit pas de - cookie de session approprié : + fonctionnant même si le serveur d'arrière-plan ne définit pas de + cookie de session approprié :

@@ -136,81 +143,81 @@ ProxyPassReverse "/test" "balancer://mycluster"
- Variables d'environnement exportées -

A l'heure actuelle, 6 variables d'environnement sont exportées :

+ Variables d'environnement exportées +

A l'heure actuelle, 6 variables d'environnement sont exportées :

BALANCER_SESSION_STICKY
-

Cette variable se voir assignée la valeur de - stickysession pour la requête courante. Il s'agit du - nom du cookie ou du paramètre de requête utilisé pour les sessions +

Cette variable se voir assignée la valeur de + stickysession pour la requête courante. Il s'agit du + nom du cookie ou du paramètre de requête utilisé pour les sessions avec abonnement.

BALANCER_SESSION_ROUTE
-

Cette variable se voit assignée la route interprétée - pour la requête courante.

+

Cette variable se voit assignée la route interprétée + pour la requête courante.

BALANCER_NAME
-

Cette variable se voit assigné le nom du répartiteur pour la - requête courante. Il s'agit d'une valeur du style +

Cette variable se voit assigné le nom du répartiteur pour la + requête courante. Il s'agit d'une valeur du style balancer://foo.

BALANCER_WORKER_NAME
-

Cette variable se voit assigné le nom du membre du groupe de - répartition de charge utilisé pour la requête courante. Il s'agit +

Cette variable se voit assigné le nom du membre du groupe de + répartition de charge utilisé pour la requête courante. Il s'agit d'une valeur du style http://hostA:1234.

BALANCER_WORKER_ROUTE
-

Cette variable se voit assignée la route du membre du - groupe de répartition de charge qui sera utilisé pour la requête +

Cette variable se voit assignée la route du membre du + groupe de répartition de charge qui sera utilisé pour la requête courante.

BALANCER_ROUTE_CHANGED
-

Cette variable est définie à 1 si la route de la session ne - correspond pas à celle du membre du groupe de répartition de charge +

Cette variable est définie à 1 si la route de la session ne + correspond pas à celle du membre du groupe de répartition de charge (BALANCER_SESSION_ROUTE != BALANCER_WORKER_ROUTE), ou si la session - ne possède pas encore de route établie. Elle peut servir à - déterminer quand il est éventuellement nécessaire d'envoyer au - client une route mise à jour lorsque les sessions persistantes sont - utilisées.

+ ne possède pas encore de route établie. Elle peut servir à + déterminer quand il est éventuellement nécessaire d'envoyer au + client une route mise à jour lorsque les sessions persistantes sont + utilisées.

- Activation du support du gestionnaire de répartiteur -

Cette fonctionnalité nécessite le chargement du module - mod_status. Le gestionnaire de répartiteur permet - la mise à jour dynamique des membres du groupe de répartition de - charge. Vous pouvez utiliser le gestionnaire de répartiteur pour + Activation du support du gestionnaire de répartiteur +

Cette fonctionnalité nécessite le chargement du module + mod_status. Le gestionnaire de répartiteur permet + la mise à jour dynamique des membres du groupe de répartition de + charge. Vous pouvez utiliser le gestionnaire de répartiteur pour modifier le facteur de charge d'un membre particulier, ou passer ce dernier en mode hors ligne.

-

Ainsi, pour mettre en oeuvre la gestion du répartiteur de charge, +

Ainsi, pour mettre en oeuvre la gestion du répartiteur de charge, mod_status et mod_proxy_balancer - doivent être chargés dans le serveur.

+ doivent être chargés dans le serveur.

-

Pour permettre la gestion du répartiteur de charge aux - navigateurs appartenant au domaine example.com, ajoutez ces lignes à +

Pour permettre la gestion du répartiteur de charge aux + navigateurs appartenant au domaine example.com, ajoutez ces lignes à votre fichier de configuration httpd.conf :

<Location "/balancer-manager"> @@ -219,73 +226,73 @@ ProxyPassReverse "/test" "balancer://mycluster" </Location> -

Vous pourrez alors accéder au gestionnaire du répartiteur de +

Vous pourrez alors accéder au gestionnaire du répartiteur de charge en utilisant un navigateur web pour afficher la page http://nom.de.votre.serveur/balancer-manager. Notez que - pour pouvoir contrôler dynamiquement un membre de groupe de - répartition, ce dernier ne doit pas être défini au sein d'une + pour pouvoir contrôler dynamiquement un membre de groupe de + répartition, ce dernier ne doit pas être défini au sein d'une section <Location ...>.

- Détails à propos de la répartition de charge par abonnement + <title>Détails à propos de la répartition de charge par abonnement (stickyness) -

Si l'abonnement s'appuie sur un cookie, vous devez définir le nom - de ce cookie dont le contenu précise le serveur d'arrière-plan à +

Si l'abonnement s'appuie sur un cookie, vous devez définir le nom + de ce cookie dont le contenu précise le serveur d'arrière-plan à utiliser. Pour ce faire, on utilise l'attribut stickysession avec la directive ProxyPass ou ProxySet. Le nom du cookie est - sensible à la casse. Le répartiteur extrait le contenu du cookie et - recherche un serveur membre dont la route correspond à - cette valeur. La route doit aussi être définie dans la directive route correspond à + cette valeur. La route doit aussi être définie dans la directive ProxyPass ou ProxySet. Le cookie peut être défini - soit par le serveur d'arrière-plan, soit, comme indiqué dans l'ProxySet. Le cookie peut être défini + soit par le serveur d'arrière-plan, soit, comme indiqué dans l'exemple ci-dessus par le serveur web Apache - lui-même.

-

Certains serveurs d'arrière-plan, tels qu'Apache Tomcat, - utilisent une forme sensiblement différente de cookie d'abonnement. - Tomcat ajoute le nom de l'instance Tomcat à la fin de son - identifiant de session, précédé par un point. Ainsi, si le serveur + lui-même.

+

Certains serveurs d'arrière-plan, tels qu'Apache Tomcat, + utilisent une forme sensiblement différente de cookie d'abonnement. + Tomcat ajoute le nom de l'instance Tomcat à la fin de son + identifiant de session, précédé par un point. Ainsi, si le serveur web Apache trouve un point dans la valeur du cookie d'abonnement, il - n'utilisera que la partie située après ce point pour - rechercher sa route. Pour que Tomcat puisse connaître son nom - d'instance, vous devez définir l'attribut jvmRoute dans - son fichier de configuration conf/server.xml à la + n'utilisera que la partie située après ce point pour + rechercher sa route. Pour que Tomcat puisse connaître son nom + d'instance, vous devez définir l'attribut jvmRoute dans + son fichier de configuration conf/server.xml à la valeur de la route du serveur qui se connecte au Tomcat - considéré. Le nom du cookie de session utilisé par Tomcat (et plus - généralement par les applications web Java à base de servlets) est - JSESSIONID (en majuscules), mais peut être modifié.

+ considéré. Le nom du cookie de session utilisé par Tomcat (et plus + généralement par les applications web Java à base de servlets) est + JSESSIONID (en majuscules), mais peut être modifié.

-

La seconde méthode pour implémenter l'abonnement est le codage - d'URL. Ici, le serveur web recherche un paramètre dans l'URL de la - requête. Le nom du paramètre est spécifié par l'attribut +

La seconde méthode pour implémenter l'abonnement est le codage + d'URL. Ici, le serveur web recherche un paramètre dans l'URL de la + requête. Le nom du paramètre est spécifié par l'attribut stickysession. Pour trouver un serveur membre, on - recherche un serveur dont la route est égale à la valeur - du paramètre. Comme il n'est pas aisé d'extraire et de manipuler - tous les liens URL contenus dans les réponses, le travail consistant - à ajouter les paramètres à chaque lien est généralement effectué par - le serveur d'arrière-plan qui génère le contenu. Bien qu'il soit + recherche un serveur dont la route est égale à la valeur + du paramètre. Comme il n'est pas aisé d'extraire et de manipuler + tous les liens URL contenus dans les réponses, le travail consistant + à ajouter les paramètres à chaque lien est généralement effectué par + le serveur d'arrière-plan qui génère le contenu. Bien qu'il soit possible dans certains cas d'effectuer ces ajouts au niveau du serveur web via les modules mod_substitute ou - mod_sed, cette méthode peut dégrader les + mod_sed, cette méthode peut dégrader les performances.

-

Les standards Java implémentent le codage d'URL de manière - sensiblement différente. Ils ajoutent une information de chemin à +

Les standards Java implémentent le codage d'URL de manière + sensiblement différente. Ils ajoutent une information de chemin à l'URL en utilisant un point-virgule (;) comme - séparateur, puis ajoutent enfin l'identifiant de session. Comme dans - le cas des cookies, Apache Tomcat peut insérer la valeur de + séparateur, puis ajoutent enfin l'identifiant de session. Comme dans + le cas des cookies, Apache Tomcat peut insérer la valeur de l'attribut jvmRoute dans cette information de chemin. Pour qu'Apache puisse trouver ce genre d'information de chemin, vous - devez définir scolonpathdelim à On dans la + devez définir scolonpathdelim à On dans la directive ProxyPass ou ProxySet.

-

Enfin, vous pouvez utiliser simultanément les cookies et le codage - d'URL en définissant le nom du cookie et le nom du paramètre d'URL - séparés par une barre verticale (|) comme dans +

Enfin, vous pouvez utiliser simultanément les cookies et le codage + d'URL en définissant le nom du cookie et le nom du paramètre d'URL + séparés par une barre verticale (|) comme dans l'exemple suivant :

ProxyPass "/test" "balancer://mycluster" stickysession=JSESSIONID|jsessionid scolonpathdelim=On @@ -294,60 +301,60 @@ ProxyPass "/test" "balancer://mycluster" stickysession=JSESSIONID|jsessionid sco BalancerMember "http://192.168.1.51:80" route=node2 </Proxy> -

Si le cookie et le paramètre de requête fournissent tous deux une - information de route correcte pour la même requête, c'est - l'information en provenance du paramètre de requête qui sera +

Si le cookie et le paramètre de requête fournissent tous deux une + information de route correcte pour la même requête, c'est + l'information en provenance du paramètre de requête qui sera retenue.

- Résolution des problèmes liés à la répartition de charge par + <title>Résolution des problèmes liés à la répartition de charge par abonnement -

Si vous êtes confronté à des erreurs d'abonnement, comme la - nécessité pour les utilisateurs de se reconnecter suite à une perte - de session d'application, vous devez tout d'abord vérifier si ceci - n'est pas du à une indisponibilité sporadique des serveurs - d'arrière-plan ou à une erreur de configuration. La présence de +

Si vous êtes confronté à des erreurs d'abonnement, comme la + nécessité pour les utilisateurs de se reconnecter suite à une perte + de session d'application, vous devez tout d'abord vérifier si ceci + n'est pas du à une indisponibilité sporadique des serveurs + d'arrière-plan ou à une erreur de configuration. La présence de messages d'erreur de type proxy dans le journal des erreurs d'Apache - pourra révéler des problèmes de stabilité au niveau des serveurs - d'arrière-plan.

-

Pour contrôler votre configuration, regardez tout d'abord si - l'abonnement est à base de cookie ou de codage d'URL. L'étape - suivante consiste à enregistrer certaines données dans le journal - des accès en utilisant un format - de journalisation personnalisé. Les champs intéressants + pourra révéler des problèmes de stabilité au niveau des serveurs + d'arrière-plan.

+

Pour contrôler votre configuration, regardez tout d'abord si + l'abonnement est à base de cookie ou de codage d'URL. L'étape + suivante consiste à enregistrer certaines données dans le journal + des accès en utilisant un format + de journalisation personnalisé. Les champs intéressants sont les suivants :

%{MONCOOKIE}C
La valeur que contient le cookie de nom MONCOOKIE. - Le nom doit correspondre au nom défini par l'attribut + Le nom doit correspondre au nom défini par l'attribut stickysession.
%{Set-Cookie}o
-
Ce champ contient tout cookie défini par le serveur - d'arrière-plan. Vous pouvez ainsi vérifier si le serveur - d'arrière-plan définit bien le cookie de session auquel vous vous - attendez, et à quelle valeur il est défini.
+
Ce champ contient tout cookie défini par le serveur + d'arrière-plan. Vous pouvez ainsi vérifier si le serveur + d'arrière-plan définit bien le cookie de session auquel vous vous + attendez, et à quelle valeur il est défini.
%{BALANCER_SESSION_STICKY}e
-
Le nom du cookie ou du paramètre de requête utilisé pour la +
Le nom du cookie ou du paramètre de requête utilisé pour la recherche de l'information de routage.
%{BALANCER_SESSION_ROUTE}e
-
L'information de routage extraite de la requête.
+
L'information de routage extraite de la requête.
%{BALANCER_WORKER_ROUTE}e
La route du serveur choisi.
%{BALANCER_ROUTE_CHANGED}e
Contient la valeur 1 si la route extraite de la - requête est différente de la route du serveur ; autrement dit, le - traitement de la requête n'a pas pu être effectué dans le cadre - d'une répartition de charge par abonnement.
+ requête est différente de la route du serveur ; autrement dit, le + traitement de la requête n'a pas pu être effectué dans le cadre + d'une répartition de charge par abonnement.
-

Les pertes de session sont souvent dues à des expirations de - session dont la valeur peut en général être configurée au niveau du - serveur d'arrière-plan.

-

Si le niveau de journalisation est défini à debug ou - plus, le répartiteur journalise aussi des informations détaillées à +

Les pertes de session sont souvent dues à des expirations de + session dont la valeur peut en général être configurée au niveau du + serveur d'arrière-plan.

+

Si le niveau de journalisation est défini à debug ou + plus, le répartiteur journalise aussi des informations détaillées à propos de l'abonnement dans le journal des erreurs, ce qui facilite - la résolution des problèmes d'abonnement. Notez cependant que le - volume de journalisation pourra alors s'avérer trop important pour + la résolution des problèmes d'abonnement. Notez cependant que le + volume de journalisation pourra alors s'avérer trop important pour un serveur en production sous forte charge.

diff --git a/docs/manual/mod/mod_ssl.xml.fr b/docs/manual/mod/mod_ssl.xml.fr index 2ec882ace0..d3dcd9493a 100644 --- a/docs/manual/mod/mod_ssl.xml.fr +++ b/docs/manual/mod/mod_ssl.xml.fr @@ -1,7 +1,7 @@ - + - + @@ -25,7 +25,7 @@ mod_ssl -Chiffrement de haut niveau basé sur les protocoles Secure +Chiffrement de haut niveau basé sur les protocoles Secure Sockets Layer (SSL) et Transport Layer Security (TLS) Extension mod_ssl.c @@ -33,27 +33,27 @@ Sockets Layer (SSL) et Transport Layer Security (TLS)

Ce module fournit le support SSL v3 et TLS v1 au serveur HTTP -Apache. SSL v2 n'est plus supporté.

+Apache. SSL v2 n'est plus supporté.

Ce module s'appuie sur OpenSSL pour fournir le moteur de chiffrement.

-

D'autres détails, discussions et exemples sont fournis dans la D'autres détails, discussions et exemples sont fournis dans la documentation SSL.
Variables d'environnement -

Ce module peut être configuré pour fournir aux espaces de nommage SSI -et CGI de nombreux éléments d'informations concernant SSL par le biais -de variables d'environnement supplémentaires. Par défaut, et pour +

Ce module peut être configuré pour fournir aux espaces de nommage SSI +et CGI de nombreux éléments d'informations concernant SSL par le biais +de variables d'environnement supplémentaires. Par défaut, et pour des raisons de performances, ces informations ne sont pas fournies (Voir la directive SSLOptions StdEnvVars ci-dessous). -Les variables générées se trouvent dans la table ci-dessous. -Ces informations peuvent également être disponible sous des noms différents -à des fins de compatibilité ascendante. Reportez-vous au chapitre Compatibilité pour plus de détails à -propos des variables de compatibilité.

+Les variables générées se trouvent dans la table ci-dessous. +Ces informations peuvent également être disponible sous des noms différents +à des fins de compatibilité ascendante. Reportez-vous au chapitre Compatibilité pour plus de détails à +propos des variables de compatibilité.

@@ -64,145 +64,145 @@ propos des variables de compatibilité.

 - - + + - - - - - - + + + + + - + - + +exporté - + - - + + - + - + - + - - - + + + - - - - - - + + + + + + - - - - - - - - - - + + + + + + + + + - - - - - + + + + + - - - + - + - + - - + - - + + - - - + - - - - - - - - - - - - - - + + + + + + + + + + + + + - + - + - +
Description :
HTTPS drapeauHTTPS est utilisé.
SSL_PROTOCOL chaîneHTTPS est utilisé.
SSL_PROTOCOL chaîne La version du protocole SSL (SSLv3, TLSv1, TLSv1.1, TLSv1.2)
SSL_SESSION_ID chaîneL'identifiant de session SSL codé en hexadécimal
SSL_SESSION_RESUMED chaîneSession SSL initiale ou reprise. Note : plusieurs requêtes peuvent -être servies dans le cadre de la même session SSL (initiale ou reprise) -si les connexions persistantes (HTTP KeepAlive) sont utilisées
SSL_SECURE_RENEG chaînetrue si la renégociation sécurisée est supportée, +
SSL_SESSION_ID chaîneL'identifiant de session SSL codé en hexadécimal
SSL_SESSION_RESUMED chaîneSession SSL initiale ou reprise. Note : plusieurs requêtes peuvent +être servies dans le cadre de la même session SSL (initiale ou reprise) +si les connexions persistantes (HTTP KeepAlive) sont utilisées
SSL_SECURE_RENEG chaînetrue si la renégociation sécurisée est supportée, false dans le cas contraire
SSL_CIPHER chaîne
SSL_CIPHER chaîne Le nom de l'algorithme de chiffrement
SSL_CIPHER_EXPORT chaîne
SSL_CIPHER_EXPORT chaîne true si l'algorithme de chiffrement est un algorithme -exporté
SSL_CIPHER_USEKEYSIZE nombreNombre de bits de chiffrement (réellement utilisés)
Nombre de bits de chiffrement (réellement utilisés)
SSL_CIPHER_ALGKEYSIZE nombre Nombre de bits de chiffrement (possible)
SSL_COMPRESS_METHOD chaîneMéthode de compression SSL négociée
SSL_COMPRESS_METHOD chaîneMéthode de compression SSL négociée
SSL_VERSION_INTERFACE chaîne
SSL_VERSION_INTERFACE chaîne La version du programme mod_ssl
SSL_VERSION_LIBRARY chaîne
SSL_VERSION_LIBRARY chaîne La version du programme OpenSSL
SSL_CLIENT_M_VERSION chaîne
SSL_CLIENT_M_VERSION chaîne La version du certificat client
SSL_CLIENT_M_SERIAL chaîneLe numéro de série du certificat client
SSL_CLIENT_S_DN chaîne
SSL_CLIENT_M_SERIAL chaîneLe numéro de série du certificat client
SSL_CLIENT_S_DN chaîne Le DN sujet du certificat client
SSL_CLIENT_S_DN_x509 chaîneElément du DN sujet du client
SSL_CLIENT_SAN_Email_n chaîneLes entrées d'extension subjectAltName du certificat client de type rfc822Name
SSL_CLIENT_SAN_DNS_n chaîneLes entrées d'extension subjectAltName du certificat client de type dNSName
SSL_CLIENT_S_DN_x509 chaîneElément du DN sujet du client
SSL_CLIENT_SAN_Email_n chaîneLes entrées d'extension subjectAltName du certificat client de type rfc822Name
SSL_CLIENT_SAN_DNS_n chaîneLes entrées d'extension subjectAltName du certificat client de type dNSName
SSL_CLIENT_SAN_OTHER_msUPN_nchaîne Extensions subjectAltName de type otherName du +chaîne Extensions subjectAltName de type otherName du certificat client, forme Microsoft du nom principal de l'utilisateur (OID 1.3.6.1.4.1.311.20.2.3)
SSL_CLIENT_I_DN chaîneDN de l'émetteur du certificat du client
SSL_CLIENT_I_DN_x509 chaîneElément du DN de l'émetteur du certificat du client
SSL_CLIENT_V_START chaîneValidité du certificat du client (date de début)
SSL_CLIENT_V_END chaîneValidité du certificat du client (date de fin)
SSL_CLIENT_V_REMAIN chaîne
SSL_CLIENT_I_DN chaîneDN de l'émetteur du certificat du client
SSL_CLIENT_I_DN_x509 chaîneElément du DN de l'émetteur du certificat du client
SSL_CLIENT_V_START chaîneValidité du certificat du client (date de début)
SSL_CLIENT_V_END chaîneValidité du certificat du client (date de fin)
SSL_CLIENT_V_REMAIN chaîne Nombre de jours avant expiration du certificat du client
SSL_CLIENT_A_SIG chaîneAlgorithme utilisé pour la signature du certificat du client
SSL_CLIENT_A_KEY chaîneAlgorithme utilisé pour la clé publique du certificat du client
SSL_CLIENT_CERT chaîne
SSL_CLIENT_A_SIG chaîneAlgorithme utilisé pour la signature du certificat du client
SSL_CLIENT_A_KEY chaîneAlgorithme utilisé pour la clé publique du certificat du client
SSL_CLIENT_CERT chaîne Certificat du client au format PEM
SSL_CLIENT_CERT_CHAIN_nchaîne Certificats de la chaîne de certification du +chaîne Certificats de la chaîne de certification du client au format PEM
SSL_CLIENT_CERT_RFC4523_CEA chaîneNuméro de série et fournisseur du certificat. le format correspond à +
SSL_CLIENT_CERT_RFC4523_CEA chaîneNuméro de série et fournisseur du certificat. le format correspond à celui de la CertificateExactAssertion dans la RFC4523
SSL_CLIENT_VERIFY chaîne
SSL_CLIENT_VERIFY chaîne NONE, SUCCESS, GENEROUS ou FAILED:raison
SSL_SERVER_M_VERSION chaîne
SSL_SERVER_M_VERSION chaîne La version du certificat du serveur
SSL_SERVER_M_SERIAL chaîne +
SSL_SERVER_M_SERIAL chaîne The serial of the server certificate
SSL_SERVER_S_DN chaîne
SSL_SERVER_S_DN chaîne DN sujet du certificat du serveur
SSL_SERVER_S_DN_x509 chaîneElément du DN sujet du certificat du serveur
SSL_SERVER_S_DN_x509 chaîneElément du DN sujet du certificat du serveur
SSL_SERVER_SAN_Email_nchaîne Les entrées d'extension subjectAltName du +chaîne Les entrées d'extension subjectAltName du certificat de serveur de type rfc822Name
SSL_SERVER_SAN_DNS_n chaîneLes entrées d'extension subjectAltName du +
SSL_SERVER_SAN_DNS_n chaîneLes entrées d'extension subjectAltName du certificat de serveur de type dNSName
SSL_SERVER_SAN_OTHER_dnsSRV_nchaîne Extensions subjectAltName de type otherName du +chaîne Extensions subjectAltName de type otherName du certificat serveur, sous la forme SRVName (OID 1.3.6.1.5.5.7.8.7, RFC 4985)
SSL_SERVER_I_DN chaîneDN de l'émetteur du certificat du serveur
SSL_SERVER_I_DN_x509 chaîneElément du DN de l'émetteur du certificat du serveur
SSL_SERVER_V_START chaîneValidité du certificat du serveur (date de dédut)
SSL_SERVER_V_END chaîneValidité du certificat du serveur (date de fin)
SSL_SERVER_A_SIG chaîneAlgorithme utilisé pour la signature du certificat du serveur
SSL_SERVER_A_KEY chaîneAlgorithme utilisé pour la clé publique du certificat du serveur
SSL_SERVER_CERT chaîne
SSL_SERVER_I_DN chaîneDN de l'émetteur du certificat du serveur
SSL_SERVER_I_DN_x509 chaîneElément du DN de l'émetteur du certificat du serveur
SSL_SERVER_V_START chaîneValidité du certificat du serveur (date de dédut)
SSL_SERVER_V_END chaîneValidité du certificat du serveur (date de fin)
SSL_SERVER_A_SIG chaîneAlgorithme utilisé pour la signature du certificat du serveur
SSL_SERVER_A_KEY chaîneAlgorithme utilisé pour la clé publique du certificat du serveur
SSL_SERVER_CERT chaîne Certificat du serveur au format PEM
SSL_SRP_USER chaîne
SSL_SRP_USER chaîne nom d'utilisateur SRP
SSL_SRP_USERINFO chaîne
SSL_SRP_USERINFO chaîne informations sur l'utilisateur SRP
SSL_TLS_SNI stringContenu de l'extension SNI TLS (si supporté par ClientHello)
Contenu de l'extension SNI TLS (si supporté par ClientHello)
-

x509 spécifie un élément de DN X.509 parmi +

x509 spécifie un élément de DN X.509 parmi C,ST,L,O,OU,CN,T,I,G,S,D,UID,Email. A partir de la version -2.1 d'Apache, x509 peut aussi comporter un suffixe numérique +2.1 d'Apache, x509 peut aussi comporter un suffixe numérique _n. Si le DN en question comporte plusieurs attributs de -noms identiques, ce suffixe constitue un index débutant à zéro et -permettant de sélectionner un +noms identiques, ce suffixe constitue un index débutant à zéro et +permettant de sélectionner un attribut particulier. Par exemple, si le DN sujet du certificat du serveur comporte deux champs OU, on peut utiliser SSL_SERVER_S_DN_OU_0 et SSL_SERVER_S_DN_OU_1 -pour référencer chacun d'entre eux. Un nom de variable sans suffixe -_n est équivalent au même nom avec le suffixe +pour référencer chacun d'entre eux. Un nom de variable sans suffixe +_n est équivalent au même nom avec le suffixe _0, ce qui correspond au premier attribut (ou au seul) -caractérisant le DN. +caractérisant le DN. Lorsque la table d'environnement est remplie en utilisant l'option StdEnvVars de la directive SSLOptions, le premier attribut (ou le -seul) caractérisant le DN est enregistré avec un nom sans suffixe ; -autrement dit, aucune entrée possédant comme suffixe _0 -n'est enregistrée.

+seul) caractérisant le DN est enregistré avec un nom sans suffixe ; +autrement dit, aucune entrée possédant comme suffixe _0 +n'est enregistrée.

-

Le format des variables *_DN a changé depuis la version +

Le format des variables *_DN a changé depuis la version 2.3.11 d'Apache HTTPD. Voir l'option LegacyDNStringFormat de la directive SSLOptions pour -plus de détails.

+plus de détails.

-

SSL_CLIENT_V_REMAIN n'est disponible qu'à partir de la +

SSL_CLIENT_V_REMAIN n'est disponible qu'à partir de la version 2.1.

-

Plusieurs variables d'environnement additionnelles peuvent être -utilisées dans les expressions SSLRequire, ou -dans les formats de journalisation personnalisés :

+

Plusieurs variables d'environnement additionnelles peuvent être +utilisées dans les expressions SSLRequire, ou +dans les formats de journalisation personnalisés :

HTTP_USER_AGENT        PATH_INFO             AUTH_TYPE
 HTTP_REFERER           QUERY_STRING          SERVER_SOFTWARE
@@ -217,87 +217,87 @@ REQUEST_METHOD         SERVER_PROTOCOL       TIME_WDAY
 REQUEST_SCHEME         REMOTE_ADDR           TIME
 REQUEST_URI            REMOTE_USER
 -

Dans ces contextes, deux formats spéciaux peuvent aussi être utilisés +

Dans ces contextes, deux formats spéciaux peuvent aussi être utilisés :

ENV:nom_variable
-
Correspond à la variable d'environnement standard +
Correspond à la variable d'environnement standard nom_variable.
-
HTTP:nom_en-tête
-
Correspond à la valeur de l'en-tête de requête dont le nom est - nom_en-tête.
+
HTTP:nom_en-tête
+
Correspond à la valeur de l'en-tête de requête dont le nom est + nom_en-tête.
Formats de journaux -personnalisés +personnalisés -

Lorsque mod_ssl est compilé dans le serveur Apache -ou même chargé (en mode DSO), des fonctions supplémentaires sont +

Lorsque mod_ssl est compilé dans le serveur Apache +ou même chargé (en mode DSO), des fonctions supplémentaires sont disponibles pour le Format de journal personnalisé du +href="mod_log_config.html#formats">Format de journal personnalisé du module mod_log_config. A ce titre, la fonction de format d'eXtension ``%{nom-var}x'' -peut être utilisée pour présenter en extension toute variable fournie +peut être utilisée pour présenter en extension toute variable fournie par tout module, et en particulier celles fournies par mod_ssl et que vous trouverez dans la table ci-dessus.

-A des fins de compatibilité ascendante, il existe une fonction de format -cryptographique supplémentaire +A des fins de compatibilité ascendante, il existe une fonction de format +cryptographique supplémentaire ``%{nom}c''. Vous trouverez toutes -les informations à propos de cette fonction dans le chapitre Compatibilité.

+les informations à propos de cette fonction dans le chapitre Compatibilité.

Exemple CustomLog "logs/ssl_request_log" "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" -

Ces formats sont disponibles même si l'option StdEnvVars de la -directive SSLOptions n'a pas été -définie.

+

Ces formats sont disponibles même si l'option StdEnvVars de la +directive SSLOptions n'a pas été +définie.

-
Information à propos de la requête +
Information à propos de la requête -

mod_ssl enregistre des informations à propos de la -requête que l'on peut restituer dans les journaux avec la chaîne de +

mod_ssl enregistre des informations à propos de la +requête que l'on peut restituer dans les journaux avec la chaîne de format %{nom}n via le module mod_log_config.

-

Les informations enregistrées sont les suivantes :

+

Les informations enregistrées sont les suivantes :

ssl-access-forbidden
-
Cette information contient la valeur 1 si l'accès a - été refusé suite à une directive SSLRequire ou +
Cette information contient la valeur 1 si l'accès a + été refusé suite à une directive SSLRequire ou SSLRequireSSL.
ssl-secure-reneg
-
Si mod_ssl a été compilé avec une version - d'OpenSSL qui supporte la renégociation sécurisée, si SSL est utilisé +
Si mod_ssl a été compilé avec une version + d'OpenSSL qui supporte la renégociation sécurisée, si SSL est utilisé pour la connexion courante et si le client supporte lui aussi la - renégociation sécurisée, cette information contiendra la valeur - 1. Si le client ne supporte pas la renégociation - sécurisée, l'information contiendra la valeur 0. Si - mod_ssl n'a pas été compilé avec une version - d'OpenSSL qui supporte la renégociation sécurisée, ou si SSL n'est pas - utilisé pour la connexion courante, le contenu de l'information ne - sera pas défini.
+ renégociation sécurisée, cette information contiendra la valeur + 1. Si le client ne supporte pas la renégociation + sécurisée, l'information contiendra la valeur 0. Si + mod_ssl n'a pas été compilé avec une version + d'OpenSSL qui supporte la renégociation sécurisée, ou si SSL n'est pas + utilisé pour la connexion courante, le contenu de l'information ne + sera pas défini.
-
Extension pour l'interprétation +<section id="expressionparser"><title>Extension pour l'interprétation des expressions -

Lorsque mod_ssl est compilé statiquement avec -Apache, ou même chargé dynamiquement (en tant que module DSO), toute Lorsque mod_ssl est compilé statiquement avec +Apache, ou même chargé dynamiquement (en tant que module DSO), toute variable en provenance de mod_ssl peut -être utilisée pour l'interprétation des -expression ap_expr. Les variables peuvent être référencées en +être utilisée pour l'interprétation des +expression ap_expr. Les variables peuvent être référencées en utilisant la syntaxe ``%{varname}''. A partir de la version 2.4.18, on peut aussi utiliser la syntaxe de style mod_rewrite @@ -309,23 +309,23 @@ Header set X-SSL-PROTOCOL "expr=%{SSL_PROTOCOL}" Header set X-SSL-CIPHER "expr=%{SSL:SSL_CIPHER}" -

Cette fonctionnalité est disponible même si l'option +

Cette fonctionnalité est disponible même si l'option StdEnvVars de la directive SSLOptions n'a pas été définie.

+module="mod_ssl">SSLOptions n'a pas été définie.

Fournisseurs d'autorisation disponibles avec Require

mod_ssl propose quelques fournisseurs - d'autorisation à utiliser avec la directive Require du module mod_authz_core.

Require ssl -

Le fournisseur ssl refuse l'accès si une connexion - n'est pas chiffrée avec SSL. L'effet est similaire à celui de la +

Le fournisseur ssl refuse l'accès si une connexion + n'est pas chiffrée avec SSL. L'effet est similaire à celui de la directive SSLRequireSSL.

@@ -338,12 +338,12 @@ disponibles avec Require
Require ssl-verify-client -

Le fournisseur ssl autorise l'accès si - l'utilisateur est authentifié via un certificat client valide. Ceci +

Le fournisseur ssl autorise l'accès si + l'utilisateur est authentifié via un certificat client valide. Ceci n'a un effet que si SSLVerifyClient optional est actif.

-

Dans l'exemple suivant, l'accès est autorisé si le client est - authentifié via un certificat client ou par nom d'utilisateur/mot de +

Dans l'exemple suivant, l'accès est autorisé si le client est + authentifié via un certificat client ou par nom d'utilisateur/mot de passe :

@@ -357,94 +357,94 @@ disponibles avec Require SSLPassPhraseDialog -Méthode utilisée pour entrer le mot de passe pour les clés -privées chiffrées +Méthode utilisée pour entrer le mot de passe pour les clés +privées chiffrées SSLPassPhraseDialog type SSLPassPhraseDialog builtin server config

-Lors de son démarrage, Apache doit lire les différents fichiers de +Lors de son démarrage, Apache doit lire les différents fichiers de certificats (voir la directive SSLCertificateFile) et de clés privées +module="mod_ssl">SSLCertificateFile) et de clés privées (voir la directive SSLCertificateKeyFile) des serveurs -virtuels où SSL est activé. Comme, pour des raisons de sécurité, les -fichiers de clés privées sont en général chiffrés, mod_ssl doit -demander à l'administrateur un mot de passe pour déchiffrer ces -fichiers. L'argument type permet de choisir la manière dont -cette demande peut être formulée parmi les trois suivantes :

+virtuels où SSL est activé. Comme, pour des raisons de sécurité, les +fichiers de clés privées sont en général chiffrés, mod_ssl doit +demander à l'administrateur un mot de passe pour déchiffrer ces +fichiers. L'argument type permet de choisir la manière dont +cette demande peut être formulée parmi les trois suivantes :

  • builtin

    - C'est la méthode par défaut, et un dialogue interactive de terminal - s'ouvre au cours du démarrage juste avant qu'Apache ne se détache du + C'est la méthode par défaut, et un dialogue interactive de terminal + s'ouvre au cours du démarrage juste avant qu'Apache ne se détache du terminal. A ce moment, l'administrateur doit entrer manuellement un - mot de passe pour chaque fichier de clé privée chiffré. Etant donné - qu'il peut y avoir un grand nombre de serveurs virtuels configurés - avec SSL activé, le protocole de réutilisation suivant est utilisé - pour minimiser le dialogue : lorsqu'un fichier de clé privée est - chiffré, tous les mots de passe connus (au début, il n'y en a aucun, - bien entendu) sont essayés. Si l'un de ces mots de passe connus + mot de passe pour chaque fichier de clé privée chiffré. Etant donné + qu'il peut y avoir un grand nombre de serveurs virtuels configurés + avec SSL activé, le protocole de réutilisation suivant est utilisé + pour minimiser le dialogue : lorsqu'un fichier de clé privée est + chiffré, tous les mots de passe connus (au début, il n'y en a aucun, + bien entendu) sont essayés. Si l'un de ces mots de passe connus convient, aucun dialogue ne s'ouvrira pour ce fichier de - clé privée particulier. Si aucun ne convient, un autre mot de passe - sera demandé à partir du terminal et sera mis en mémoire pour le - fichier de clé privée suivant (pour lequel il pourra éventuellement - être réutilisé).

    + clé privée particulier. Si aucun ne convient, un autre mot de passe + sera demandé à partir du terminal et sera mis en mémoire pour le + fichier de clé privée suivant (pour lequel il pourra éventuellement + être réutilisé).

    - Cette méthode confère à mod_ssl une grande souplesse (car pour N - fichiers de clé privée chiffrés, vous pouvez utiliser N - mots de passe différents - mais vous devrez alors tous les fournir, + Cette méthode confère à mod_ssl une grande souplesse (car pour N + fichiers de clé privée chiffrés, vous pouvez utiliser N + mots de passe différents - mais vous devrez alors tous les fournir, bien entendu), tout en minimisant le dialogue de terminal (vous pouvez en effet utiliser un seul mot de passe pour les N fichiers de - clé privée et vous n'aurez alors à l'entrer qu'une seule + clé privée et vous n'aurez alors à l'entrer qu'une seule fois).

  • |/chemin/vers/programme [arguments...] -

    Ce mode permet d'utiliser un programme externe qui va se présenter - comme une redirection vers un périphérique d'entrée particulier ; le - texte de prompt standard utilisé pour le mode builtin - est envoyé au programme sur stdin, et celui-ci doit +

    Ce mode permet d'utiliser un programme externe qui va se présenter + comme une redirection vers un périphérique d'entrée particulier ; le + texte de prompt standard utilisé pour le mode builtin + est envoyé au programme sur stdin, et celui-ci doit renvoyer des mots de passe sur stdout. Si plusieurs mots de passe sont requis (ou si un mot de passe incorrect - a été entré), un texte de prompt supplémentaire sera écrit après le + a été entré), un texte de prompt supplémentaire sera écrit après le retour du premier mot de passe, et d'autres mots de passe devront - alors être réécrits.

    • + alors être réécrits.

  • exec:/chemin/vers/programme

    - Ici, un programme externe est appelé au démarrage du serveur pour - chaque fichier de clé privée chiffré.Il est appelé avec deux + Ici, un programme externe est appelé au démarrage du serveur pour + chaque fichier de clé privée chiffré.Il est appelé avec deux arguments (le premier est de la forme ``nom-serveur:port'', le second est ``RSA'', ``DSA'', ``ECC'' - ou un index entier commençant à 3 si plus de 3 clés ont été - configurées), qui - indiquent pour quels serveur et algorithme il doit écrire le mot de + ou un index entier commençant à 3 si plus de 3 clés ont été + configurées), qui + indiquent pour quels serveur et algorithme il doit écrire le mot de passe correspondant sur stdout. Avec les versions 2.4.8 - (non réalisée) et - 2.4.9, il est appelé avec un seul argument, une chaîne de la forme - "servername:portnumber:index" (où index - est un nombre entier commençant à zéro), qui spécifie le serveur, - le port TCP et un numéro de certificat. Le but recherché est - l'exécution de vérifications de sécurité préalables permettant de - s'assurer que le système n'est pas victime d'une attaque, et de ne - fournir le mot de passe que si toutes les vérifications ont été - effectuées avec succès.

    + (non réalisée) et + 2.4.9, il est appelé avec un seul argument, une chaîne de la forme + "servername:portnumber:index" (où index + est un nombre entier commençant à zéro), qui spécifie le serveur, + le port TCP et un numéro de certificat. Le but recherché est + l'exécution de vérifications de sécurité préalables permettant de + s'assurer que le système n'est pas victime d'une attaque, et de ne + fournir le mot de passe que si toutes les vérifications ont été + effectuées avec succès.

    - Ces vérifications de sécurité, ainsi que la manière dont le mot de - passe est déterminé peuvent être aussi sophistiqués que vous le - désirez. Mod_ssl ne définit que l'interface : un programme - exécutable qui écrit le mot de passe sur stdout. Ni - plus, ni moins ! Ainsi, si vous êtes vraiment paranoïaque en matière - de sécurité, voici votre interface. Tout le reste doit être confié à - l'administrateur à titre d'exercice, car les besoins en sécurité - locale sont très différents.

    + Ces vérifications de sécurité, ainsi que la manière dont le mot de + passe est déterminé peuvent être aussi sophistiqués que vous le + désirez. Mod_ssl ne définit que l'interface : un programme + exécutable qui écrit le mot de passe sur stdout. Ni + plus, ni moins ! Ainsi, si vous êtes vraiment paranoïaque en matière + de sécurité, voici votre interface. Tout le reste doit être confié à + l'administrateur à titre d'exercice, car les besoins en sécurité + locale sont très différents.

    - L'algorithme de réutilisation est utilisé ici aussi. En d'autres - termes, le programme externe n'est appelé qu'une fois par mot de + L'algorithme de réutilisation est utilisé ici aussi. En d'autres + termes, le programme externe n'est appelé qu'une fois par mot de passe unique.

Exemple @@ -457,89 +457,89 @@ SSLPassPhraseDialog "exec:/usr/local/apache/sbin/pp-filter" SSLRandomSeed -Source de déclenchement du Générateur de Nombres -Pseudo-Aléatoires (PRNG) +Source de déclenchement du Générateur de Nombres +Pseudo-Aléatoires (PRNG) SSLRandomSeed contexte source [nombre] server config

-Cette directive permet de définir une ou plusieurs sources de -déclenchement du Générateur de Nombres Pseudo-Aléatoires (PRNG) dans -OpenSSL au démarrage du serveur (si contexte a pour valeur -startup) et/ou juste avant l'établissement d'une nouvelle +Cette directive permet de définir une ou plusieurs sources de +déclenchement du Générateur de Nombres Pseudo-Aléatoires (PRNG) dans +OpenSSL au démarrage du serveur (si contexte a pour valeur +startup) et/ou juste avant l'établissement d'une nouvelle connexion SSL (si contexte a pour valeur connect). -Cette directive ne peut être utilisée qu'au niveau du serveur global car +Cette directive ne peut être utilisée qu'au niveau du serveur global car le PRNG est un service global.

-Les différentes valeurs de source disponibles sont :

+Les différentes valeurs de source disponibles sont :

  • builtin -

    Cette source de déclenchement intégrée est toujours disponible. +

    Cette source de déclenchement intégrée est toujours disponible. Son utilisation consomme un minimum de cycles CPU en cours - d'exécution, et son utilisation ne présente de ce fait aucun - problème. La source utilisée pour déclencher le PRNG contient la + d'exécution, et son utilisation ne présente de ce fait aucun + problème. La source utilisée pour déclencher le PRNG contient la date courante, l'identifiant du processus courant et (si disponible) - un extrait de 1Ko aléatoirement choisi de la structure d'Apache pour - les échanges inter-processus. Ceci présente un inconvénient car le - caractère aléatoire de cette source n'est pas vraiment fort, et au - démarrage (lorsque la structure d'échanges n'est pas encore + un extrait de 1Ko aléatoirement choisi de la structure d'Apache pour + les échanges inter-processus. Ceci présente un inconvénient car le + caractère aléatoire de cette source n'est pas vraiment fort, et au + démarrage (lorsque la structure d'échanges n'est pas encore disponible), cette source ne produit que quelques octets d'entropie. - Vous devez donc toujours utiliser une source de déclenchement - additionnelle, au moins pour le démarrage.

    • + Vous devez donc toujours utiliser une source de déclenchement + additionnelle, au moins pour le démarrage.

  • file:/chemin/vers/source

    Cette variante utilise un fichier externe - file:/chemin/vers/source comme source de déclenchement - du PRNG. Lorsque nombre est spécifié, seuls les + file:/chemin/vers/source comme source de déclenchement + du PRNG. Lorsque nombre est spécifié, seuls les nombre premiers octets du fichier forment l'entropie (et - nombre est fourni comme premier argument à + nombre est fourni comme premier argument à /chemin/vers/source). Lorsque nombre n'est pas - spécifié, l'ensemble du fichier forme l'entropie (et 0 - est fourni comme premier argument à + spécifié, l'ensemble du fichier forme l'entropie (et 0 + est fourni comme premier argument à /chemin/vers/source). Utilisez cette source en - particulier au démarrage, par exemple avec un fichier de - périphérique /dev/random et/ou - /dev/urandom (qui sont en général présent sur les - plate-formes dérivées d'Unix modernes comme FreeBSD et Linux).

    -

    Soyez cependant prudent : en général, + particulier au démarrage, par exemple avec un fichier de + périphérique /dev/random et/ou + /dev/urandom (qui sont en général présent sur les + plate-formes dérivées d'Unix modernes comme FreeBSD et Linux).

    +

    Soyez cependant prudent : en général, /dev/random ne fournit que l'entropie dont il dispose - réellement ; en d'autres termes, lorsque vous demandez 512 octets - d'entropie, si le périphérique ne dispose que de 100 octets, deux + réellement ; en d'autres termes, lorsque vous demandez 512 octets + d'entropie, si le périphérique ne dispose que de 100 octets, deux choses peuvent se produire : sur certaines plates-formes, vous ne recevez que les 100 octets, alors que sur d'autres, la lecture se - bloque jusqu'à ce qu'un nombre suffisant d'octets soit disponible - (ce qui peut prendre beaucoup de temps). Il est préférable ici - d'utiliser le périphérique /dev/urandom, car il ne se - bloque jamais et fournit vraiment la quantité de données demandées. - Comme inconvénient, les données reçues ne sont pas forcément de la - meilleure qualité.

    • + bloque jusqu'à ce qu'un nombre suffisant d'octets soit disponible + (ce qui peut prendre beaucoup de temps). Il est préférable ici + d'utiliser le périphérique /dev/urandom, car il ne se + bloque jamais et fournit vraiment la quantité de données demandées. + Comme inconvénient, les données reçues ne sont pas forcément de la + meilleure qualité.

  • exec:/chemin/vers/programme

    - Cette variante utilise un exécutable externe - /chemin/vers/programme comme source de déclenchement du - PRNG. Lorsque nombre est spécifié, seules les + Cette variante utilise un exécutable externe + /chemin/vers/programme comme source de déclenchement du + PRNG. Lorsque nombre est spécifié, seules les nombre premiers octets de son flux stdout - forment l'entropie. Lorsque nombre n'est pas spécifié, - l'intégralité des données produites sur stdout forment - l'entropie. N'utilisez cette variante qu'au démarrage où une source - de déclenchement fortement aléatoire est nécessaire, en utilisant + forment l'entropie. Lorsque nombre n'est pas spécifié, + l'intégralité des données produites sur stdout forment + l'entropie. N'utilisez cette variante qu'au démarrage où une source + de déclenchement fortement aléatoire est nécessaire, en utilisant un programme externe (comme dans l'exemple - ci-dessous avec l'utilitaire truerand basé sur la - bibliothèque truerand de AT&T que vous trouverez + ci-dessous avec l'utilitaire truerand basé sur la + bibliothèque truerand de AT&T que vous trouverez dans la distribution de mod_ssl). Bien entendu, l'utilisation de cette variante dans un contexte "connection" ralentit le serveur de - manière trop importante, et en général, vous devez donc éviter + manière trop importante, et en général, vous devez donc éviter d'utiliser des programmes externes dans ce contexte.

  • egd:/chemin/vers/socket-egd (Unix seulement) -

    Cette variante utilise le socket de domaine Unix du Démon - Générateur d'Entropie externe ou Entropy Gathering Daemon ou EGD +

    Cette variante utilise le socket de domaine Unix du Démon + Générateur d'Entropie externe ou Entropy Gathering Daemon ou EGD (voir http://www.lothar.com/tech - /crypto/) pour déclencher le PRNG. N'utilisez cette variante que - si votre plate-forme ne possède pas de périphérique random ou + /crypto/) pour déclencher le PRNG. N'utilisez cette variante que + si votre plate-forme ne possède pas de périphérique random ou urandom.

Exemple @@ -567,65 +567,65 @@ inter-processus

Cette directive permet de configurer le type de stockage du cache de -session SSL global et inter-processus. Ce cache est une fonctionnalité -optionnelle qui accélère le traitement parallèle des requêtes. Pour ce -qui est des requêtes vers un même processus du serveur (via HTTP +session SSL global et inter-processus. Ce cache est une fonctionnalité +optionnelle qui accélère le traitement parallèle des requêtes. Pour ce +qui est des requêtes vers un même processus du serveur (via HTTP keep-alive), OpenSSL met en cache les informations de session SSL en interne. Mais comme les clients modernes demandent des images en ligne -et d'autres données via des requêtes parallèles (un nombre de quatre -requêtes parallèles est courant), ces requêtes vont être servies par -plusieurs processus du serveur pré-déclenchés. Ici, un cache -inter-processus permet d'éviter des négociations de session +et d'autres données via des requêtes parallèles (un nombre de quatre +requêtes parallèles est courant), ces requêtes vont être servies par +plusieurs processus du serveur pré-déclenchés. Ici, un cache +inter-processus permet d'éviter des négociations de session inutiles.

Les quatre types de stockage suivants sont actuellement -supportés :

+supportés :

  • none -

    Cette valeur désactive le cache de session global et - inter-processus, ce qui va ralentir le serveur de manière sensible - et peut poser problème avec certains navigateurs, en particulier si - les certificats clients sont activés. Cette configuration n'est pas - recommandée.

    • +

    Cette valeur désactive le cache de session global et + inter-processus, ce qui va ralentir le serveur de manière sensible + et peut poser problème avec certains navigateurs, en particulier si + les certificats clients sont activés. Cette configuration n'est pas + recommandée.

  • nonenotnull -

    Cette valeur désactive tout cache de session global et - inter-processus. Cependant, elle force OpenSSL à envoyer un - identifiant de session non nul afin de s'adapter aux clients bogués - qui en nécessitent un.

    • +

    Cette valeur désactive tout cache de session global et + inter-processus. Cependant, elle force OpenSSL à envoyer un + identifiant de session non nul afin de s'adapter aux clients bogués + qui en nécessitent un.

    -
  • dbm:/chemin/vers/fichier-données +
  • dbm:/chemin/vers/fichier-données

    Cette valeur utilise un fichier de hashage DBM sur disque local - pour synchroniser les caches OpenSSL locaux en mémoire des processus - du serveur. Ce cache de session peut être sujet à des problèmes de - fiabilité sous forte charge. Pour l'utiliser, le module - mod_socache_dbm doit être chargé.

    • + pour synchroniser les caches OpenSSL locaux en mémoire des processus + du serveur. Ce cache de session peut être sujet à des problèmes de + fiabilité sous forte charge. Pour l'utiliser, le module + mod_socache_dbm doit être chargé.

    -
  • shmcb:/chemin/vers/fichier-données[(nombre)] +
  • shmcb:/chemin/vers/fichier-données[(nombre)] -

    Cette valeur utilise un tampon cyclique à hautes performances +

    Cette valeur utilise un tampon cyclique à hautes performances (d'une taille d'environ nombre octets) dans un segment de - mémoire partagée en RAM (établi via - /chemin/vers/fichier-données, pour synchroniser les - caches OpenSSL locaux en mémoire des processus du serveur. C'est le - type de cache de session recommandé. Pour l'utiliser, le module - mod_socache_shmcb doit être chargé.

    • + mémoire partagée en RAM (établi via + /chemin/vers/fichier-données, pour synchroniser les + caches OpenSSL locaux en mémoire des processus du serveur. C'est le + type de cache de session recommandé. Pour l'utiliser, le module + mod_socache_shmcb doit être chargé.

  • dc:UNIX:/chemin/vers/socket -

    Cette valeur utilise les bibliothèques de mise en cache de - sessions distribuée sur Cette valeur utilise les bibliothèques de mise en cache de + sessions distribuée sur cache distant "distcache". - L'argument doit spécifier le serveur ou mandataire à utiliser en + L'argument doit spécifier le serveur ou mandataire à utiliser en utilisant la syntaxe d'adressage distcache ; par exemple, - UNIX:/chemin/vers/socket spécifie une socket de domaine - Unix (en général un mandataire de dc_client local) ; - IP:serveur.example.com:9001 spécifie une adresse IP. - Pour l'utiliser, le module mod_socache_dc doit être - chargé.

    • + UNIX:/chemin/vers/socket spécifie une socket de domaine + Unix (en général un mandataire de dc_client local) ; + IP:serveur.example.com:9001 spécifie une adresse IP. + Pour l'utiliser, le module mod_socache_dc doit être + chargé.

@@ -636,8 +636,8 @@ SSLSessionCache "shmcb:/usr/local/apache/logs/ssl_gcache_data(512000)" -

Le mutex ssl-cache permet de sérialiser l'accès au cache -de session afin d'éviter toute corruption. Ce mutex peut être configuré +

Le mutex ssl-cache permet de sérialiser l'accès au cache +de session afin d'éviter toute corruption. Ce mutex peut être configuré via la directive Mutex.

@@ -650,17 +650,17 @@ dans le cache de sessions SSLSessionCacheTimeout 300 server config virtual host -S'applique aussi à la reprise de session TLS (RFC 5077) à +S'applique aussi à la reprise de session TLS (RFC 5077) à partir de la version 2.4.10 du serveur HTTP Apache

-Cette directive permet de définir la durée de vie en secondes des -informations stockées dans le cache de sessions SSL global et -inter-processus, dans le cache OpenSSL interne en mémoire et pour -les sessions réinitialisées par la reprise de session TLS (RFC 5077). elle peut -être définie à une valeur d'environ 15 à des fins de test, mais à une -valeur très supérieure comme 300 en production.

+Cette directive permet de définir la durée de vie en secondes des +informations stockées dans le cache de sessions SSL global et +inter-processus, dans le cache OpenSSL interne en mémoire et pour +les sessions réinitialisées par la reprise de session TLS (RFC 5077). elle peut +être définie à une valeur d'environ 15 à des fins de test, mais à une +valeur très supérieure comme 300 en production.

Exemple SSLSessionCacheTimeout 600 @@ -671,7 +671,7 @@ SSLSessionCacheTimeout 600 SSLEngine -Interrupteur marche/arrêt du moteur SSL +Interrupteur marche/arrêt du moteur SSL SSLEngine on|off|optional SSLEngine off server config @@ -679,12 +679,12 @@ SSLSessionCacheTimeout 600

-Cette directive permet d'activer/désactiver le moteur du protocole -SSL/TLS. Elle doit être utilisée dans une section VirtualHost pour activer -SSL/TLS pour ce serveur virtuel particulier. Par défaut, le moteur du -protocole SSL/TLS est désactivé pour le serveur principal et tous les -serveurs virtuels configurés.

+SSL/TLS pour ce serveur virtuel particulier. Par défaut, le moteur du +protocole SSL/TLS est désactivé pour le serveur principal et tous les +serveurs virtuels configurés.

Exemple <VirtualHost _default_:443> @@ -694,7 +694,7 @@ SSLEngine on

Depuis la version 2.1 d'Apache, la directive -SSLEngine peut être définie à +SSLEngine peut être définie à optional, ce qui active le support de RFC 2817, Upgrading to TLS Within HTTP/1.1. Pour le moment, aucun navigateur web ne supporte @@ -711,22 +711,22 @@ RFC 2817.

-Cette directive permet d'activer/désactiver l'utilisation du drapeau -FIPS_mode de la bibliothèque SSL. Elle doit être définie dans le +Cette directive permet d'activer/désactiver l'utilisation du drapeau +FIPS_mode de la bibliothèque SSL. Elle doit être définie dans le contexte du serveur principal, et n'accepte pas les configurations sources de conflits (SSLFIPS on suivi de SSLFIPS off par exemple). Le -mode s'applique à toutes les opérations de la bibliothèque SSL. +mode s'applique à toutes les opérations de la bibliothèque SSL.

-Si httpd a été compilé avec une bibliothèque SSL qui ne supporte pas le -drapeau FIPS_mode, la directive SSLFIPS on échouera. -Reportez-vous au document sur la politique de sécurité FIPS 140-2 de la -bibliothèque du fournisseur SSL, pour les prérequis spécifiques -nécessaires à l'utilisation de mod_ssl selon un mode d'opération -approuvé par FIPS 140-2 ; notez que mod_ssl en lui-même n'est pas -validé, mais peut être décrit comme utilisant un module de chiffrement -validé par FIPS 140-2, lorsque tous les composants sont assemblés et mis -en oeuvre selon les recommandations de la politique de sécurité +Si httpd a été compilé avec une bibliothèque SSL qui ne supporte pas le +drapeau FIPS_mode, la directive SSLFIPS on échouera. +Reportez-vous au document sur la politique de sécurité FIPS 140-2 de la +bibliothèque du fournisseur SSL, pour les prérequis spécifiques +nécessaires à l'utilisation de mod_ssl selon un mode d'opération +approuvé par FIPS 140-2 ; notez que mod_ssl en lui-même n'est pas +validé, mais peut être décrit comme utilisant un module de chiffrement +validé par FIPS 140-2, lorsque tous les composants sont assemblés et mis +en oeuvre selon les recommandations de la politique de sécurité applicable.

@@ -737,48 +737,48 @@ applicable. Indique les versions du protocole SSL/TLS disponibles SSLProtocol [+|-]protocole ... -SSLProtocol all -SSLv3 (jusqu'à la version 2.4.16 : all) +SSLProtocol all -SSLv3 (jusqu'à la version 2.4.16 : all) server config virtual host

-Cette directive permet de définir quelles versions du protocole SSL/TLS -seront acceptées lors de l'initialisation d'une nouvelle connexion.

+Cette directive permet de définir quelles versions du protocole SSL/TLS +seront acceptées lors de l'initialisation d'une nouvelle connexion.

-Les protocoles disponibles sont les suivants (sensibles à la +Les protocoles disponibles sont les suivants (sensibles à la casse) :

  • SSLv3

    Il s'agit du protocole Secure Sockets Layer (SSL) version 3.0 de Netscape Corporation. C'est le successeur de SSLv2 et le - prédécesseur de TLSv1, mais est considéré comme - obsolète dans la RFC + prédécesseur de TLSv1, mais est considéré comme + obsolète dans la RFC 7568

  • TLSv1

    Il s'agit du protocole Transport Layer Security (TLS) version 1.0. - C'est le successeur de SSLv3, et il est défini dans la RFC2246. Il est - supporté par la plupart des clients.

    • + supporté par la plupart des clients.

    -
  • TLSv1.1 (à partir de la version 1.0.1 d'OpenSSL) +
  • TLSv1.1 (à partir de la version 1.0.1 d'OpenSSL)

    - Une révision du protocole TLS 1.0 définie dans la RFC 4346.

    • -
  • TLSv1.2 (à partir de la version 1.0.1 d'OpenSSL) +
  • TLSv1.2 (à partir de la version 1.0.1 d'OpenSSL)

    - Une révision du protocole TLS 1.1 définie dans la RFC 5246.

  • all

    - C'est un raccourci pour ``+SSLv3 +TLSv1'' ou - à partir + C'est un raccourci pour ``+SSLv3 +TLSv1'' ou - à partir de la version 1.0.1 d'OpenSSL - ``+SSLv3 +TLSv1 +TLSv1.1 - +TLSv1.2'' (sauf si OpenSSL a été compilé avec l'option + +TLSv1.2'' (sauf si OpenSSL a été compilé avec l'option ``no-ssl3'', auquel cas all n'inclura pas +SSLv3).

@@ -792,11 +792,11 @@ SSLProtocol TLSv1 SSLCipherSuite -Algorithmes de chiffrement disponibles pour la négociation +Algorithmes de chiffrement disponibles pour la négociation au cours de l'initialisation de la connexion SSL SSLCipherSuite algorithmes -SSLCipherSuite DEFAULT (dépend de la version d'OpenSSL -installée) +SSLCipherSuite DEFAULT (dépend de la version d'OpenSSL +installée) server config virtual host directory @@ -805,22 +805,22 @@ installée)

-Cette directive complexe utilise la chaîne algorithmes +Cette directive complexe utilise la chaîne algorithmes contenant la liste des algorithmes de chiffrement OpenSSL que le client peut utiliser au cours de la phase d'initialisation de la connexion SSL. -Notez que cette directive peut être utilisée aussi bien dans un contexte -de serveur que dans un contexte de répertoire. Dans un contexte de -serveur, elle s'applique à l'initialisation SSL standard lorsqu'une -connexion est établie. Dans un contexte de répertoire, elle force une -renégociation SSL avec la liste d'algorithmes de chiffrement spécifiée -après la lecture d'une requête HTTP, mais avant l'envoi de la réponse +Notez que cette directive peut être utilisée aussi bien dans un contexte +de serveur que dans un contexte de répertoire. Dans un contexte de +serveur, elle s'applique à l'initialisation SSL standard lorsqu'une +connexion est établie. Dans un contexte de répertoire, elle force une +renégociation SSL avec la liste d'algorithmes de chiffrement spécifiée +après la lecture d'une requête HTTP, mais avant l'envoi de la réponse HTTP.

-La liste d'algorithmes de chiffrement SSL spécifiée par l'argument +La liste d'algorithmes de chiffrement SSL spécifiée par l'argument algorithmes comporte quatre attributs principaux auxquels s'ajoutent quelques attributs secondaires :

    -
  • Algorithme d'échange de clés:
    +
  • Algorithme d'échange de clés:
    RSA, Diffie-Hellman, Elliptic Curve Diffie-Hellman, Secure Remote Password
  • Algorithme d'authentification:
    @@ -829,33 +829,33 @@ s'ajoutent quelques attributs secondaires :

  • Algorithme de chiffrement:
    AES, DES, Triple-DES, RC4, RC2, IDEA, etc...
    • -
  • Algorithme de condensé MAC:
    +
  • Algorithme de condensé MAC:
    MD5, SHA or SHA1, SHA256, SHA384.
-

L'algorithme de chiffrement peut aussi provenir de l'extérieur. Les -algorithmes SSLv2 ne sont plus supportés. -Pour définir les algorithmes à utiliser, on -peut soit spécifier tous les algorithmes à la fois, soit utiliser des -alias pour spécifier une liste d'algorithmes dans leur ordre de -préférence (voir Table 1). Les algorithmes et -alias effectivement disponibles dépendent de la version d'openssl -utilisée. Les versions ultérieures d'openssl inclueront probablement des -algorithmes supplémentaires.

+

L'algorithme de chiffrement peut aussi provenir de l'extérieur. Les +algorithmes SSLv2 ne sont plus supportés. +Pour définir les algorithmes à utiliser, on +peut soit spécifier tous les algorithmes à la fois, soit utiliser des +alias pour spécifier une liste d'algorithmes dans leur ordre de +préférence (voir Table 1). Les algorithmes et +alias effectivement disponibles dépendent de la version d'openssl +utilisée. Les versions ultérieures d'openssl inclueront probablement des +algorithmes supplémentaires.

- - - - - + + + + - + @@ -870,7 +870,7 @@ distant sécurisé (SRP) - + @@ -884,9 +884,9 @@ TLS version 1.0 +externes limités à 40 bits +externes limités à 56 bits +utilisant l'échange de clés RSA +utilisant l'échange de clés Diffie-Hellman - +utilisant l'échange de clés Diffie-Hellman temporaires + +utilisant l'échange de clés Diffie-Hellman anonymes +utilisant l'échange de clés Elliptic Curve Diffie-Hellman +l'échange de clés avec mot de passe distant sécurisé (SRP) n'utilisant aucune authentification
Symbole Description
Algorithme d'échange de clés :
kRSA Echange de clés RSA
kDHr Echange de clés Diffie-Hellman avec -clé RSA
kDHd Echange de clés Diffie-Hellman avec -clé DSA
kEDH Echange de clés Diffie-Hellman +
Algorithme d'échange de clés :
kRSA Echange de clés RSA
kDHr Echange de clés Diffie-Hellman avec +clé RSA
kDHd Echange de clés Diffie-Hellman avec +clé DSA
kEDH Echange de clés Diffie-Hellman temporaires (pas de certificat)
kSRP échange de clés avec mot de passe -distant sécurisé (SRP)
kSRP échange de clés avec mot de passe +distant sécurisé (SRP)
Algorithmes d'authentification :
aNULL Pas d'authentification
aRSA Authentification RSA
RC4 Chiffrement RC4
RC2 Chiffrement RC2
IDEA Chiffrement IDEA
Algorithmes de condensés MAC :
Algorithmes de condensés MAC :
MD5 Fonction de hashage MD5
SHA1 Fonction de hashage SHA1
SHA alias pour SHA1
EXP tous les algorithmes de chiffrement externes
EXPORT40 tous les algorithmes de chiffrement -externes limités à 40 bits
EXPORT56 tous les algorithmes de chiffrement -externes limités à 56 bits
LOW tous les algorithmes de chiffrement faibles (non externes, DES simple)
MEDIUM tous les algorithmes avec @@ -894,18 +894,18 @@ chiffrement 128 bits
HIGH tous les algorithmes utilisant Triple-DES
RSA tous les algorithmes -utilisant l'échange de clés RSA
DH tous les algorithmes -utilisant l'échange de clés Diffie-Hellman
EDH tous les algorithmes -utilisant l'échange de clés Diffie-Hellman temporaires
ECDH échange de clés Elliptic Curve Diffie-Hellman
ECDH échange de clés Elliptic Curve Diffie-Hellman
ADH tous les algorithmes -utilisant l'échange de clés Diffie-Hellman anonymes
AECDH tous les algorithmes -utilisant l'échange de clés Elliptic Curve Diffie-Hellman
SRP tous les algorithmes utilisant -l'échange de clés avec mot de passe distant sécurisé (SRP)
DSS tous les algorithmes utilisant l'authentification DSS
ECDSA tous les algorithmes @@ -914,42 +914,42 @@ utilisant l'authentification ECDSA

-Cela devient intéressant lorsque tous ces symboles sont combinés -ensemble pour spécifier les algorithmes disponibles et l'ordre dans +Cela devient intéressant lorsque tous ces symboles sont combinés +ensemble pour spécifier les algorithmes disponibles et l'ordre dans lequel vous voulez les utiliser. Pour simplifier tout cela, vous disposez aussi d'alias (SSLv3, TLSv1, EXP, LOW, MEDIUM, HIGH) pour certains groupes d'algorithmes. Ces symboles peuvent -être reliés par des préfixes pour former la chaîne algorithmes. -Les préfixes disponibles sont :

+être reliés par des préfixes pour former la chaîne algorithmes. +Les préfixes disponibles sont :

    -
  • none: ajoute l'algorithme à la liste
    • -
  • +: déplace les algorithmes qui conviennent à la +
  • none: ajoute l'algorithme à la liste
    • +
  • +: déplace les algorithmes qui conviennent à la place courante dans la liste
    • -
  • -: supprime l'algorithme de la liste (peut être rajouté +
  • -: supprime l'algorithme de la liste (peut être rajouté plus tard)
    • -
  • !: supprime définitivement l'algorithme de la liste (ne -peut plus y être rajouté plus tard)
    • +
  • !: supprime définitivement l'algorithme de la liste (ne +peut plus y être rajouté plus tard)
Les algorithmes <code>aNULL</code>, <code>eNULL</code> et -<code>EXP</code> sont toujours désactivés +EXP sont toujours désactivés

Depuis la version 2.4.7, les -algorithmes de type null ou destinés à l'exportation sont toujours -désactivés car mod_ssl ajoute obligatoirement -!aNULL:!eNULL:!EXP à toute chaîne d'algorithme de -chiffrement à l'initialisation.

+algorithmes de type null ou destinés à l'exportation sont toujours +désactivés car mod_ssl ajoute obligatoirement +!aNULL:!eNULL:!EXP à toute chaîne d'algorithme de +chiffrement à l'initialisation.

Pour vous simplifier la vie, vous pouvez utiliser la commande ``openssl ciphers -v'' qui vous fournit un moyen simple de -créer la chaîne algorithmes avec succès. La chaîne -algorithmes par défaut dépend de la version des bibliothèques -SSL installées. Supposons qu'elle contienne +créer la chaîne algorithmes avec succès. La chaîne +algorithmes par défaut dépend de la version des bibliothèques +SSL installées. Supposons qu'elle contienne ``RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5'', ce qui stipule de mettre RC4-SHA et AES128-SHA en -premiers, car ces algorithmes présentent un bon compromis entre vitesse -et sécurité. Viennent ensuite les algorithmes de sécurité élevée et +premiers, car ces algorithmes présentent un bon compromis entre vitesse +et sécurité. Viennent ensuite les algorithmes de sécurité élevée et moyenne. En fin de compte, les algorithmes qui n'offrent aucune authentification sont exclus, comme les algorithmes anonymes Diffie-Hellman pour SSL, ainsi que tous les algorithmes qui utilisent @@ -967,8 +967,8 @@ PSK-RC4-SHA SSLv3 Kx=PSK Au=PSK Enc=RC4(128) Mac=SHA1 KRB5-RC4-SHA SSLv3 Kx=KRB5 Au=KRB5 Enc=RC4(128) Mac=SHA1 -

Vous trouverez la liste complète des algorithmes RSA & DH -spécifiques à SSL dans la Table 2.

+

Vous trouverez la liste complète des algorithmes RSA & DH +spécifiques à SSL dans la Table 2.

Exemple SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW @@ -979,8 +979,8 @@ SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW Symbole algorithme Protocole -Echange de clés Authentification Chiffrement -Condensé MAC Type +Echange de clés Authentification Chiffrement +Condensé MAC Type Algorithmes RSA : DES-CBC3-SHA SSLv3 RSA RSA 3DES(168) SHA1 IDEA-CBC-SHA SSLv3 RSA RSA IDEA(128) SHA1 @@ -1010,71 +1010,71 @@ SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW SSLCertificateFile -Fichier de données contenant le certificat X.509 du serveur codé en +Fichier de données contenant le certificat X.509 du serveur codé en PEM SSLCertificateFile chemin-fichier server config virtual host -

Cette directive permet de définir le fichier de données contenant +

Cette directive permet de définir le fichier de données contenant les informations de certificat -X.509 du serveur codées au format PEM. Ce fichier doit contenir -au minimum un certificat d'entité finale (feuille). -La directive peut être utilisée plusieurs fois (elle référence des -fichiers différents) pour accepter plusieurs algorithmes +X.509 du serveur codées au format PEM. Ce fichier doit contenir +au minimum un certificat d'entité finale (feuille). +La directive peut être utilisée plusieurs fois (elle référence des +fichiers différents) pour accepter plusieurs algorithmes d'authentification au niveau du serveur - souvent RSA, DSA et ECC. Le -nombre d'algorithmes supportés dépend de la version d'OpenSSL utilisée -avec mod_ssl : à partir de la version 1.0.0, la commande openssl +nombre d'algorithmes supportés dépend de la version d'OpenSSL utilisée +avec mod_ssl : à partir de la version 1.0.0, la commande openssl list-public-key-algorithms affiche la liste des algorithmes -supportés. +supportés.

Les fichiers peuvent aussi contenir des certificats de CA -intermédiaires triés depuis la feuille vers la racine. Cette -fonctionnalité est disponible depuis la version 2.4.8 du serveur HTTP -Apache, et rend obsolète la directive SSLCertificateChainFile. A partir de la -version 1.0.2 d'OpenSSL, il est alors possible de configurer la chaîne +version 1.0.2 d'OpenSSL, il est alors possible de configurer la chaîne de certification en fonction du certificat.

Depuis la version 2.4.7 du serveur HTTP Apache, on peut aussi ajouter -des paramètres DH personnalisés et un nom EC -curve pour les clés éphémères à la fin du premier fichier défini par la +des paramètres DH personnalisés et un nom EC +curve pour les clés éphémères à la fin du premier fichier défini par la directive SSLCertificateFile. -Ces paramètres peuvent être générés avec les commandes openssl -dhparam et openssl ecparam, et ils peuvent être -ajoutés tel quel à la fin du premier fichier de certificat. En effet, -seul le premier fichier de certificat défini peut être utilisé pour -enregistrer des paramètres personnalisés, car ces derniers s'appliquent -indépendamment de l'algorithme d'authentification utilisé. +Ces paramètres peuvent être générés avec les commandes openssl +dhparam et openssl ecparam, et ils peuvent être +ajoutés tel quel à la fin du premier fichier de certificat. En effet, +seul le premier fichier de certificat défini peut être utilisé pour +enregistrer des paramètres personnalisés, car ces derniers s'appliquent +indépendamment de l'algorithme d'authentification utilisé.

-

Enfin, il est aussi possible d'ajouter la clé privée du certificat de -l'entité finale au fichier de certificat, ce qui permet de se passer +

Enfin, il est aussi possible d'ajouter la clé privée du certificat de +l'entité finale au fichier de certificat, ce qui permet de se passer d'une directive SSLCertificateKeyFile séparée. Cette -pratique est cependant fortement déconseillée. En effet, les fichiers de -certificats qui contiennent de tels clés embarquées doivent être définis -avant les certificats en utilisant un fichier de clé séparé. En outre, -si la clé est chiffrée, une boîte de dialogue pour entrer le mot de -passe de la clé s'ouvre au démarrage du serveur. +module="mod_ssl">SSLCertificateKeyFile séparée. Cette +pratique est cependant fortement déconseillée. En effet, les fichiers de +certificats qui contiennent de tels clés embarquées doivent être définis +avant les certificats en utilisant un fichier de clé séparé. En outre, +si la clé est chiffrée, une boîte de dialogue pour entrer le mot de +passe de la clé s'ouvre au démarrage du serveur.

-Interopérabilité des paramètres DH avec les nombres premiers de +<title>Interopérabilité des paramètres DH avec les nombres premiers de plus de 1024 bits

Depuis la version 2.4.7, mod_ssl utilise des -paramètres DH standardisés avec des nombres premiers de 2048, 3072 et +paramètres DH standardisés avec des nombres premiers de 2048, 3072 et 4096 bits, et avec des nombres premiers de 6144 et 8192 bits depuis la version 2.4.10 (voir RFC 3526), et les fournit aux clients en fonction de la longueur de la -clé du certificat RSA/DSA. En particulier avec les clients basés sur -Java (versions 7 et antérieures), ceci peut provoquer des erreurs au -cours de la négociation - voir cette réponse de la FAQ SSL pour -contourner les problèmes de ce genre. +clé du certificat RSA/DSA. En particulier avec les clients basés sur +Java (versions 7 et antérieures), ceci peut provoquer des erreurs au +cours de la négociation - voir cette réponse de la FAQ SSL pour +contourner les problèmes de ce genre.

@@ -1088,32 +1088,32 @@ SSLCertificateFile "/usr/local/apache2/conf/ssl.crt/server.crt" SSLCertificateKeyFile -Fichier contenant la clé privée du serveur codée en +Fichier contenant la clé privée du serveur codée en PEM SSLCertificateKeyFile chemin-fichier server config virtual host -

Cette directive permet de définir le fichier contenant la clé privée du -serveur codée en PEM. Si la clé privée est -chiffrée, une boîte de dialogue demandant le mot de passe s'ouvre au -démarrage.

+

Cette directive permet de définir le fichier contenant la clé privée du +serveur codée en PEM. Si la clé privée est +chiffrée, une boîte de dialogue demandant le mot de passe s'ouvre au +démarrage.

-Cette directive peut être utilisée plusieurs fois pour référencer -différents noms de fichiers, afin de supporter plusieurs algorithmes +Cette directive peut être utilisée plusieurs fois pour référencer +différents noms de fichiers, afin de supporter plusieurs algorithmes pour l'authentification du serveur. A chaque directive SSLCertificateKeyFile doit être associée +module="mod_ssl">SSLCertificateKeyFile doit être associée une directive SSLCertificateFile correspondante.

-La clé privé peut aussi être ajoutée au fichier défini par la directive +La clé privé peut aussi être ajoutée au fichier défini par la directive SSLCertificateFile, mais cette -pratique est fortement déconseillée. En effet, les fichiers de -certificats qui comportent une telle clé doivent être définis après les -certificats en utilisant un fichier de clé séparé.

+pratique est fortement déconseillée. En effet, les fichiers de +certificats qui comportent une telle clé doivent être définis après les +certificats en utilisant un fichier de clé séparé.

Exemple @@ -1125,47 +1125,47 @@ SSLCertificateKeyFile "/usr/local/apache2/conf/ssl.key/server.key" SSLCertificateChainFile -Fichier contenant les certificats de CA du serveur codés en +Fichier contenant les certificats de CA du serveur codés en PEM SSLCertificateChainFile chemin-fichier server config virtual host -SSLCertificateChainFile est obsolète -

SSLCertificateChainFile est devenue obsolète avec la +SSLCertificateChainFile est obsolète +

SSLCertificateChainFile est devenue obsolète avec la version 2.4.8, lorsque la directive -SSLCertificateFile a été étendue -pour supporter aussi les certificats de CA intermédiaires dans le +SSLCertificateFile a été étendue +pour supporter aussi les certificats de CA intermédiaires dans le fichier de certificats du serveur.

-Cette directive permet de définir le fichier optionnel -tout-en-un où vous pouvez rassembler les certificats des -Autorités de Certification (CA) qui forment la chaîne de certification -du certificat du serveur. Cette chaîne débute par le certificat de la CA -qui a délivré le certificat du serveur et peut remonter jusqu'au +Cette directive permet de définir le fichier optionnel +tout-en-un où vous pouvez rassembler les certificats des +Autorités de Certification (CA) qui forment la chaîne de certification +du certificat du serveur. Cette chaîne débute par le certificat de la CA +qui a délivré le certificat du serveur et peut remonter jusqu'au certificat de la CA racine. Un tel fichier contient la simple -concaténation des différents certificats de CA codés en PEM, en général -dans l'ordre de la chaîne de certification.

-

Elle doit être utilisée à la place et/ou en complément de la +concaténation des différents certificats de CA codés en PEM, en général +dans l'ordre de la chaîne de certification.

+

Elle doit être utilisée à la place et/ou en complément de la directive SSLCACertificatePath -pour construire explicitement la chaîne de certification du serveur qui -est envoyée au navigateur en plus du certificat du serveur. Elle s'avère -particulièrement utile pour éviter les conflits avec les certificats de +pour construire explicitement la chaîne de certification du serveur qui +est envoyée au navigateur en plus du certificat du serveur. Elle s'avère +particulièrement utile pour éviter les conflits avec les certificats de CA lorsqu'on utilise l'authentification du client. Comme le fait de -placer un certificat de CA de la chaîne de certification du serveur dans +placer un certificat de CA de la chaîne de certification du serveur dans la directive SSLCACertificatePath produit le même effet -pour la construction de la chaîne de certification, cette directive a -pour effet colatéral de faire accepter les certificats clients fournis -par cette même CA, au cours de l'authentification du client.

+module="mod_ssl">SSLCACertificatePath produit le même effet +pour la construction de la chaîne de certification, cette directive a +pour effet colatéral de faire accepter les certificats clients fournis +par cette même CA, au cours de l'authentification du client.

-Soyez cependant prudent : fournir la chaîne de certification ne +Soyez cependant prudent : fournir la chaîne de certification ne fonctionne que si vous utilisez un simple certificat de serveur RSA ou DSA. Si vous utilisez une paire de certificats -couplés RSA+DSA , cela ne fonctionnera que si les deux certificats -utilisent vraiment la même chaîne de certification. Dans le cas +couplés RSA+DSA , cela ne fonctionnera que si les deux certificats +utilisent vraiment la même chaîne de certification. Dans le cas contraire, la confusion risque de s'installer au niveau des navigateurs.

Exemple @@ -1178,25 +1178,25 @@ SSLCertificateChainFile "/usr/local/apache2/conf/ssl.crt/ca.crt" SSLCACertificatePath -Répertoire des certificats de CA codés en PEM pour +Répertoire des certificats de CA codés en PEM pour l'authentification des clients -SSLCACertificatePath chemin-répertoire +SSLCACertificatePath chemin-répertoire server config virtual host

-Cette directive permet de définir le répertoire où sont stockés les -certificats des Autorités de Certification (CAs) pour les clients -auxquels vous avez à faire. On les utilise pour vérifier le certificat +Cette directive permet de définir le répertoire où sont stockés les +certificats des Autorités de Certification (CAs) pour les clients +auxquels vous avez à faire. On les utilise pour vérifier le certificat du client au cours de l'authentification de ce dernier.

-Les fichiers de ce répertoire doivent être codés en PEM et ils sont -accédés via des noms de fichier sous forme de condensés ou hash. Il ne -suffit donc pas de placer les fichiers de certificats dans ce répertoire -: vous devez aussi créer des liens symboliques nommés +Les fichiers de ce répertoire doivent être codés en PEM et ils sont +accédés via des noms de fichier sous forme de condensés ou hash. Il ne +suffit donc pas de placer les fichiers de certificats dans ce répertoire +: vous devez aussi créer des liens symboliques nommés valeur-de-hashage.N, et vous devez toujours vous -assurer que ce répertoire contient les liens symboliques appropriés.

+assurer que ce répertoire contient les liens symboliques appropriés.

Exemple SSLCACertificatePath "/usr/local/apache2/conf/ssl.crt/" @@ -1207,21 +1207,21 @@ SSLCACertificatePath "/usr/local/apache2/conf/ssl.crt/" SSLCACertificateFile -Fichier contenant une concaténation des certificats de CA -codés en PEM pour l'authentification des clients +Fichier contenant une concaténation des certificats de CA +codés en PEM pour l'authentification des clients SSLCACertificateFile chemin-fichier server config virtual host

-Cette directive permet de définir le fichier tout-en-un où vous -pouvez rassembler les certificats des Autorités de Certification (CAs) -pour les clients auxquels vous avez à faire. On les utilise pour +Cette directive permet de définir le fichier tout-en-un où vous +pouvez rassembler les certificats des Autorités de Certification (CAs) +pour les clients auxquels vous avez à faire. On les utilise pour l'authentification des clients. Un tel fichier contient la simple -concaténation des différents fichiers de certificats codés en PEM, par -ordre de préférence. Cette directive peut être utilisée à la place et/ou -en complément de la directive SSLCACertificatePath.

Exemple @@ -1233,43 +1233,43 @@ SSLCACertificateFile "/usr/local/apache2/conf/ssl.crt/ca-bundle-client.crt" SSLCADNRequestFile -Fichier contenant la concaténation des certificats de CA -codés en PEM pour la définition de noms de CA acceptables +Fichier contenant la concaténation des certificats de CA +codés en PEM pour la définition de noms de CA acceptables SSLCADNRequestFile chemin-fichier server config virtual host

Lorsque mod_ssl demande un certificat client, une liste de noms -d'Autorités de Certification acceptables est envoyée au client au +d'Autorités de Certification acceptables est envoyée au client au cours de la phase d'initialisation de la connexion SSL. Le client peut -alors utiliser cette liste de noms de CA pour sélectionner un certificat -client approprié parmi ceux dont il dispose.

+alors utiliser cette liste de noms de CA pour sélectionner un certificat +client approprié parmi ceux dont il dispose.

Si aucune des directives SSLCADNRequestPath ou SSLCADNRequestFile n'est définie, la liste -de noms de CsA acceptables envoyée au client est la liste des noms de -tous les certificats de CA spécifiés par les directives SSLCADNRequestFile n'est définie, la liste +de noms de CsA acceptables envoyée au client est la liste des noms de +tous les certificats de CA spécifiés par les directives SSLCACertificateFile et SSLCACertificatePath ; en d'autres termes, -c'est la liste des noms de CAs qui sera effectivement utilisée pour -vérifier le certificat du client.

+c'est la liste des noms de CAs qui sera effectivement utilisée pour +vérifier le certificat du client.

Dans certaines situations, il est utile de pouvoir envoyer -une liste de noms de CA acceptables qui diffère de la liste des CAs -effectivement utilisés pour vérifier le certificat du client ; -considérons par exemple le cas où le certificat du client est signé par -des CAs intermédiaires. On peut ici utiliser les directives SSLCADNRequestPath et/ou SSLCADNRequestFile, et les noms de CA acceptables seront alors extraits de l'ensemble des certificats contenus -dans le répertoire et/ou le fichier définis par cette paire de +dans le répertoire et/ou le fichier définis par cette paire de directives.

SSLCADNRequestFile doit -spécifier un fichier tout-en-un contenant une concaténation des -certificats de CA codés en PEM.

+spécifier un fichier tout-en-un contenant une concaténation des +certificats de CA codés en PEM.

Exemple @@ -1281,26 +1281,26 @@ SSLCADNRequestFile "/usr/local/apache2/conf/ca-names.crt" SSLCADNRequestPath -Répertoire contenant des fichiers de certificats de CA -codés en PEM pour la définition de noms de CA acceptables -SSLCADNRequestPath chemin-répertoire +Répertoire contenant des fichiers de certificats de CA +codés en PEM pour la définition de noms de CA acceptables +SSLCADNRequestPath chemin-répertoire server config virtual host -

Cette directive optionnelle permet de définir la liste de noms de -CAs acceptables qui sera envoyée au client lorsqu'un certificat de -client est demandé. Voir la directive Cette directive optionnelle permet de définir la liste de noms de +CAs acceptables qui sera envoyée au client lorsqu'un certificat de +client est demandé. Voir la directive SSLCADNRequestFile pour plus de -détails.

+détails.

-

Les fichiers de ce répertoire doivent être codés en PEM et ils sont -accédés via des noms de fichier sous forme de condensés ou hash. Il ne -suffit donc pas de placer les fichiers de certificats dans ce répertoire -: vous devez aussi créer des liens symboliques nommés +

Les fichiers de ce répertoire doivent être codés en PEM et ils sont +accédés via des noms de fichier sous forme de condensés ou hash. Il ne +suffit donc pas de placer les fichiers de certificats dans ce répertoire +: vous devez aussi créer des liens symboliques nommés valeur-de-hashage.N, et vous devez toujours vous -assurer que ce répertoire contient les liens symboliques appropriés.

+assurer que ce répertoire contient les liens symboliques appropriés.

Exemple SSLCADNRequestPath "/usr/local/apache2/conf/ca-names.crt/" @@ -1311,26 +1311,26 @@ SSLCADNRequestPath "/usr/local/apache2/conf/ca-names.crt/" SSLCARevocationPath -Répertoire des CRLs de CA codés en PEM pour +Répertoire des CRLs de CA codés en PEM pour l'authentification des clients -SSLCARevocationPath chemin-répertoire +SSLCARevocationPath chemin-répertoire server config virtual host

-Cette directive permet de définir le répertoire où sont stockées les -Listes de Révocation de Certificats (CRL) des Autorités de Certification -(CAs) pour les clients auxquels vous avez à faire. On les utilise pour -révoquer les certificats des clients au cours de l'authentification de +Cette directive permet de définir le répertoire où sont stockées les +Listes de Révocation de Certificats (CRL) des Autorités de Certification +(CAs) pour les clients auxquels vous avez à faire. On les utilise pour +révoquer les certificats des clients au cours de l'authentification de ces derniers.

-Les fichiers de ce répertoire doivent être codés en PEM et ils sont -accédés via des noms de fichier sous forme de condensés ou hash. Il ne -suffit donc pas de placer les fichiers de CRL dans ce répertoire -: vous devez aussi créer des liens symboliques nommés +Les fichiers de ce répertoire doivent être codés en PEM et ils sont +accédés via des noms de fichier sous forme de condensés ou hash. Il ne +suffit donc pas de placer les fichiers de CRL dans ce répertoire +: vous devez aussi créer des liens symboliques nommés valeur-de-hashage.N, et vous devez toujours vous -assurer que ce répertoire contient les liens symboliques appropriés.

+assurer que ce répertoire contient les liens symboliques appropriés.

Exemple SSLCARevocationPath "/usr/local/apache2/conf/ssl.crl/" @@ -1341,7 +1341,7 @@ SSLCARevocationPath "/usr/local/apache2/conf/ssl.crl/" SSLCARevocationFile -Fichier contenant la concaténation des CRLs des CA codés en +Fichier contenant la concaténation des CRLs des CA codés en PEM pour l'authentification des clients SSLCARevocationFile chemin-fichier server config @@ -1349,13 +1349,13 @@ PEM pour l'authentification des clients

-Cette directive permet de définir le fichier tout-en-un où sont -rassemblées les Listes de Révocation de Certificats (CRLs) des Autorités -de certification (CAs) pour les clients auxquels vous avez à faire. On +Cette directive permet de définir le fichier tout-en-un où sont +rassemblées les Listes de Révocation de Certificats (CRLs) des Autorités +de certification (CAs) pour les clients auxquels vous avez à faire. On les utilise pour l'authentification des clients. Un tel fichier contient -la simple concaténation des différents fichiers de CRLs codés en PEM, -dans l'ordre de préférence. Cette directive peut être utilisée à la -place et/ou en complément de la directive SSLCARevocationPath.

Exemple @@ -1368,7 +1368,7 @@ SSLCARevocationFile SSLCARevocationCheck -Active la vérification des révocations basée sur les CRL +Active la vérification des révocations basée sur les CRL SSLCARevocationCheck chain|leaf|none SSLCARevocationCheck none server config @@ -1376,28 +1376,28 @@ SSLCARevocationFile

-Active la vérification des révocations basée sur les Listes de -Révocations de Certificats (CRL). Au moins une des directives SSLCARevocationFile ou SSLCARevocationPath doit être définie. -Lorsque cette directive est définie à chain (valeur -recommandée), les vérifications CRL sont effectuées sur tous les -certificats de la chaîne, alors que la valeur leaf limite -la vérification au certificat hors chaîne (la feuille). +module="mod_ssl">SSLCARevocationPath doit être définie. +Lorsque cette directive est définie à chain (valeur +recommandée), les vérifications CRL sont effectuées sur tous les +certificats de la chaîne, alors que la valeur leaf limite +la vérification au certificat hors chaîne (la feuille).

-Lorsque la directive est définie à <code>chain</code> ou -<code>leaf</code>, les CRLs doivent être disponibles pour que la -validation réussisse +Lorsque la directive est définie à <code>chain</code> ou +<code>leaf</code>, les CRLs doivent être disponibles pour que la +validation réussisse

-Avant la version 2.3.15, les vérifications CRL dans mod_ssl -réussissaient même si aucune CRL n'était trouvée dans les chemins -définis par les directives SSLCARevocationFile ou SSLCARevocationPath. Le comportement a -changé avec l'introduction de cette directive : lorsque la vérification -est activée, les CRLs doivent être présentes pour que la -validation réussisse ; dans le cas contraire, elle échouera avec une +changé avec l'introduction de cette directive : lorsque la vérification +est activée, les CRLs doivent être présentes pour que la +validation réussisse ; dans le cas contraire, elle échouera avec une erreur "CRL introuvable".

@@ -1411,7 +1411,7 @@ SSLCARevocationCheck chain SSLVerifyClient -Niveau de vérification du certificat client +Niveau de vérification du certificat client SSLVerifyClient niveau SSLVerifyClient none server config @@ -1422,34 +1422,34 @@ SSLCARevocationCheck chain

-Cette directive permet de définir le niveau de vérification du +Cette directive permet de définir le niveau de vérification du certificat pour l'authentification du client. Notez que cette directive -peut être utilisée à la fois dans les contextes du serveur principal et -du répertoire. Dans le contexte du serveur principal, elle s'applique au -processus d'authentification du client utilisé au cours de la -négociation SSL standard lors de l'établissement d'une connexion. Dans -un contexte de répertoire, elle force une renégociation SSL avec le -niveau de vérification du client spécifié, après la lecture d'une -requête HTTP, mais avant l'envoi de la réponse HTTP.

+peut être utilisée à la fois dans les contextes du serveur principal et +du répertoire. Dans le contexte du serveur principal, elle s'applique au +processus d'authentification du client utilisé au cours de la +négociation SSL standard lors de l'établissement d'une connexion. Dans +un contexte de répertoire, elle force une renégociation SSL avec le +niveau de vérification du client spécifié, après la lecture d'une +requête HTTP, mais avant l'envoi de la réponse HTTP.

Les valeurs de niveau disponibles sont les suivantes :

  • none: aucun certificat client n'est requis
  • optional: - le client peut présenter un certificat valide
    • + le client peut présenter un certificat valide
  • require: - le client doit présenter un certificat valide
    • + le client doit présenter un certificat valide
  • optional_no_ca: - le client peut présenter un certificat valide, mais il n'est pas - nécessaire que ce dernier soit vérifiable (avec succès).
    • + le client peut présenter un certificat valide, mais il n'est pas + nécessaire que ce dernier soit vérifiable (avec succès).

En pratique, seuls les niveaux none et -require sont vraiment intéressants, car le niveau +require sont vraiment intéressants, car le niveau optional ne fonctionne pas avec tous les navigateurs, -et le niveau optional_no_ca va vraiment à l'encontre de -l'idée que l'on peut se faire de l'authentification (mais peut tout de -même être utilisé pour établir des pages de test SSL, etc...)

+et le niveau optional_no_ca va vraiment à l'encontre de +l'idée que l'on peut se faire de l'authentification (mais peut tout de +même être utilisé pour établir des pages de test SSL, etc...)

Exemple SSLVerifyClient require @@ -1461,7 +1461,7 @@ SSLVerifyClient require SSLVerifyDepth Profondeur maximale des certificats de CA pour la -vérification des certificats clients +vérification des certificats clients SSLVerifyDepth nombre SSLVerifyDepth 1 server config @@ -1472,25 +1472,25 @@ vérification des certificats clients

-Cette directive permet de spécifier la profondeur maximale à laquelle -mod_ssl va effectuer sa vérification avant de décider que le client ne -possède pas de certificat valide. Notez que cette directive peut être -utilisée à la fois dans les contextes du serveur principal et de -répertoire. Dans le contexte du serveur principal, elle s'applique au -processus d'authentification du client utilisé au cours de la -négociation SSL standard lors de l'établissement d'une connexion. Dans -un contexte de répertoire, elle force une renégociation SSL avec le -client selon la nouvelle profondeur spécifiée, après la lecture d'une -requête HTTP, mais avant l'envoi de la réponse HTTP.

+Cette directive permet de spécifier la profondeur maximale à laquelle +mod_ssl va effectuer sa vérification avant de décider que le client ne +possède pas de certificat valide. Notez que cette directive peut être +utilisée à la fois dans les contextes du serveur principal et de +répertoire. Dans le contexte du serveur principal, elle s'applique au +processus d'authentification du client utilisé au cours de la +négociation SSL standard lors de l'établissement d'une connexion. Dans +un contexte de répertoire, elle force une renégociation SSL avec le +client selon la nouvelle profondeur spécifiée, après la lecture d'une +requête HTTP, mais avant l'envoi de la réponse HTTP.

La profondeur correspond au nombre maximum de fournisseurs de -certificats intermédiaires, c'est à dire le nombre maximum de -certificats de CA que l'on est autorisé à suivre lors de la vérification +certificats intermédiaires, c'est à dire le nombre maximum de +certificats de CA que l'on est autorisé à suivre lors de la vérification du certificat du client. Une profondeur de 0 signifie que seuls les -certificats clients auto-signés sont acceptés ; la profondeur par défaut -de 1 signifie que le certificat client peut être soit auto-signé, soit -signé par une CA connue directement du serveur (c'est à dire que le -certificat de la CA doit être référencé par la directive SSLCACertificatePath), etc...

Exemple @@ -1502,30 +1502,30 @@ SSLVerifyDepth 10 SSLSRPVerifierFile -Chemin du fichier de vérification SRP +Chemin du fichier de vérification SRP SSLSRPVerifierFile file-path server config virtual host Disponible depuis la version 2.4.4 du serveur HTTP -Apache, si la version 1.0.1 ou supérieure d'OpenSSL est utilisée. +Apache, si la version 1.0.1 ou supérieure d'OpenSSL est utilisée.

-Cette directive permet d'activer TLS-SRP et de définir le chemin du -fichier de vérification OpenSSL SRP (Mot de passe distant sécurisé) -contenant les noms d'utilisateurs TLS-SRP, les vérificateurs, les -"grains de sel" (salts), ainsi que les paramètres de groupe.

+Cette directive permet d'activer TLS-SRP et de définir le chemin du +fichier de vérification OpenSSL SRP (Mot de passe distant sécurisé) +contenant les noms d'utilisateurs TLS-SRP, les vérificateurs, les +"grains de sel" (salts), ainsi que les paramètres de groupe.

Exemple SSLSRPVerifierFile "/path/to/file.srpv"

-Le fichier de vérification peut être créé via l'utilitaire en ligne de +Le fichier de vérification peut être créé via l'utilitaire en ligne de commande openssl :

-Création du fichier de vérification SRP +Création du fichier de vérification SRP openssl srp -srpvfile passwd.srpv -userinfo "some info" -add username -

La valeur affectée au paramètre optionnel -userinfo est -enregistrée dans la variable d'environnement +

La valeur affectée au paramètre optionnel -userinfo est +enregistrée dans la variable d'environnement SSL_SRP_USERINFO.

 @@ -1533,19 +1533,19 @@ enregistrée dans la variable d'environnement SSLSRPUnknownUserSeed -Source d'aléa pour utilisateur SRP inconnu +Source d'aléa pour utilisateur SRP inconnu SSLSRPUnknownUserSeed secret-string server config virtual host Disponible depuis la version 2.4.4 du serveur HTTP -Apache, si la version 1.0.1 ou supérieure d'OpenSSL est utilisée. +Apache, si la version 1.0.1 ou supérieure d'OpenSSL est utilisée.

-Cette directive permet de définir la source d'aléa à utiliser +Cette directive permet de définir la source d'aléa à utiliser pour les utilisateurs SRP inconnus, ceci afin de combler les manques en -cas d'existence d'un tel utilisateur. Elle définit une chaîne secrète. Si -cette directive n'est pas définie, Apache renverra une alerte +cas d'existence d'un tel utilisateur. Elle définit une chaîne secrète. Si +cette directive n'est pas définie, Apache renverra une alerte UNKNOWN_PSK_IDENTITY aux clients qui fournissent un nom d'utilisateur inconnu.

@@ -1557,7 +1557,7 @@ SSLSRPUnknownUserSeed "secret" SSLOptions -Configure différentes options d'exécution du moteur SSL +Configure différentes options d'exécution du moteur SSL SSLOptions [+|-]option ... server config virtual host @@ -1567,15 +1567,15 @@ SSLSRPUnknownUserSeed "secret"

-Cette directive permet de contrôler différentes options d'exécution du -moteur SSL dans un contexte de répertoire. Normalement, si plusieurs -SSLOptions peuvent s'appliquer à un répertoire, c'est la -plus spécifique qui est véritablement prise en compte ; les options ne +Cette directive permet de contrôler différentes options d'exécution du +moteur SSL dans un contexte de répertoire. Normalement, si plusieurs +SSLOptions peuvent s'appliquer à un répertoire, c'est la +plus spécifique qui est véritablement prise en compte ; les options ne se combinent pas entre elles. Elles se combinent cependant entre elles -si elles sont toutes précédées par un symbole plus -(+) ou moins (-). Toute option précédée d'un -+ est ajoutée aux options actuellement en vigueur, et toute -option précédée d'un - est supprimée de ces mêmes +si elles sont toutes précédées par un symbole plus +(+) ou moins (-). Toute option précédée d'un ++ est ajoutée aux options actuellement en vigueur, et toute +option précédée d'un - est supprimée de ces mêmes options.

@@ -1583,99 +1583,99 @@ Les options disponibles sont :

  • StdEnvVars

    - Lorsque cette option est activée, le jeu standard de variables - d'environnement SSL relatives à CGI/SSI est créé. Cette option est - désactivée par défaut pour des raisons de performances, car - l'extraction des informations constitue une opération assez coûteuse - en ressources. On n'active donc en général cette option que pour les - requêtes CGI et SSI.

    + Lorsque cette option est activée, le jeu standard de variables + d'environnement SSL relatives à CGI/SSI est créé. Cette option est + désactivée par défaut pour des raisons de performances, car + l'extraction des informations constitue une opération assez coûteuse + en ressources. On n'active donc en général cette option que pour les + requêtes CGI et SSI.

  • ExportCertData

    - Lorsque cette option est activée, des variables d'environnement - CGI/SSI supplémentaires sont créées : SSL_SERVER_CERT, + Lorsque cette option est activée, des variables d'environnement + CGI/SSI supplémentaires sont créées : SSL_SERVER_CERT, SSL_CLIENT_CERT et SSL_CLIENT_CERT_CHAIN_n (avec n = - 0,1,2,..). Elles contiennent les certificats X.509 codés en PEM du + 0,1,2,..). Elles contiennent les certificats X.509 codés en PEM du serveur et du client pour la connexion HTTPS courante, et peuvent - être utilisées par les scripts CGI pour une vérification de - certificat plus élaborée. De plus, tous les autres certificats de la - chaîne de certificats du client sont aussi fournis. Tout ceci gonfle + être utilisées par les scripts CGI pour une vérification de + certificat plus élaborée. De plus, tous les autres certificats de la + chaîne de certificats du client sont aussi fournis. Tout ceci gonfle un peu l'environnement, et c'est la raison pour laquelle vous ne - devez activer cette option qu'à la demande.

    + devez activer cette option qu'à la demande.

  • FakeBasicAuth

    - Lorsque cette option est activée, le Nom Distinctif (DN) sujet du + Lorsque cette option est activée, le Nom Distinctif (DN) sujet du certificat client X509 est traduit en un nom d'utilisateur pour - l'autorisation HTTP de base. Cela signifie que les méthodes - d'authentification standard d'Apache peuvent être utilisées pour le - contrôle d'accès. Le nom d'utilisateur est tout simplement le Sujet - du certificat X509 du client (il peut être déterminé en utilisant la + l'autorisation HTTP de base. Cela signifie que les méthodes + d'authentification standard d'Apache peuvent être utilisées pour le + contrôle d'accès. Le nom d'utilisateur est tout simplement le Sujet + du certificat X509 du client (il peut être déterminé en utilisant la commande OpenSSL openssl x509 : openssl x509 -noout -subject -in certificat.crt). - Notez qu'aucun mot de passe n'est envoyé par l'utilisateur. Chaque - entrée du fichier des utilisateurs doit comporter ce mot de passe : - ``xxj31ZMTZzkVA'', qui est la version chiffrée en DES + Notez qu'aucun mot de passe n'est envoyé par l'utilisateur. Chaque + entrée du fichier des utilisateurs doit comporter ce mot de passe : + ``xxj31ZMTZzkVA'', qui est la version chiffrée en DES du mot ``password''. Ceux qui travaillent avec un - chiffrement basé sur MD5 (par exemple sous FreeBSD ou BSD/OS, - etc...) doivent utiliser le condensé MD5 suivant pour le même mot : + chiffrement basé sur MD5 (par exemple sous FreeBSD ou BSD/OS, + etc...) doivent utiliser le condensé MD5 suivant pour le même mot : ``$1$OXLyS...$Owx8s2/m9/gfkcRVXzgoE/''.

    Notez que la directive AuthBasicFake implémentée par le - module mod_auth_basic peut être utilisée d'une - manière plus générale comme simulation d'authentification basique, - ce qui permet de contrôler la structure nom utilisateur/mot de + module="mod_auth_basic">AuthBasicFake implémentée par le + module mod_auth_basic peut être utilisée d'une + manière plus générale comme simulation d'authentification basique, + ce qui permet de contrôler la structure nom utilisateur/mot de passe.

  • StrictRequire

    - Cette option force l'interdiction d'accès lorsque - SSLRequireSSL ou SSLRequire a décidé que - l'accès devait être interdit. Par défaut, dans le cas où - une directive ``Satisfy any'' est utilisée, et si - d'autres restrictions d'accès ont été franchies, on passe en général - outre l'interdiction d'accès due à SSLRequireSSL ou - SSLRequire (parce que c'est ainsi que le mécanisme + Cette option force l'interdiction d'accès lorsque + SSLRequireSSL ou SSLRequire a décidé que + l'accès devait être interdit. Par défaut, dans le cas où + une directive ``Satisfy any'' est utilisée, et si + d'autres restrictions d'accès ont été franchies, on passe en général + outre l'interdiction d'accès due à SSLRequireSSL ou + SSLRequire (parce que c'est ainsi que le mécanisme Satisfy d'Apache doit fonctionner). Pour des - restrictions d'accès plus strictes, vous pouvez cependant utiliser + restrictions d'accès plus strictes, vous pouvez cependant utiliser SSLRequireSSL et/ou SSLRequire en combinaison avec une option ``SSLOptions +StrictRequire''. Une directive ``Satisfy Any'' - n'a alors aucune chance d'autoriser l'accès si mod_ssl a décidé de + n'a alors aucune chance d'autoriser l'accès si mod_ssl a décidé de l'interdire.

  • OptRenegotiate

    - Cette option active la gestion optimisée de la renégociation des - connexions SSL intervenant lorsque les directives SSL sont utilisées - dans un contexte de répertoire. Par défaut un schéma strict est - appliqué, et chaque reconfiguration des paramètres SSL au - niveau du répertoire implique une phase de renégociation SSL - complète. Avec cette option, mod_ssl essaie d'éviter les - échanges non nécessaires en effectuant des vérifications de - paramètres plus granulaires (mais tout de même efficaces). - Néanmoins, ces vérifications granulaires peuvent ne pas correspondre - à ce qu'attend l'utilisateur, et il est donc recommandé de n'activer - cette option que dans un contexte de répertoire.

    + Cette option active la gestion optimisée de la renégociation des + connexions SSL intervenant lorsque les directives SSL sont utilisées + dans un contexte de répertoire. Par défaut un schéma strict est + appliqué, et chaque reconfiguration des paramètres SSL au + niveau du répertoire implique une phase de renégociation SSL + complète. Avec cette option, mod_ssl essaie d'éviter les + échanges non nécessaires en effectuant des vérifications de + paramètres plus granulaires (mais tout de même efficaces). + Néanmoins, ces vérifications granulaires peuvent ne pas correspondre + à ce qu'attend l'utilisateur, et il est donc recommandé de n'activer + cette option que dans un contexte de répertoire.

  • LegacyDNStringFormat

    - Cette option permet d'agir sur la manière dont les valeurs des - variables SSL_{CLIENT,SERVER}_{I,S}_DN sont formatées. - Depuis la version 2.3.11, Apache HTTPD utilise par défaut un format + Cette option permet d'agir sur la manière dont les valeurs des + variables SSL_{CLIENT,SERVER}_{I,S}_DN sont formatées. + Depuis la version 2.3.11, Apache HTTPD utilise par défaut un format compatible avec la RFC 2253. Ce format utilise des virgules comme - délimiteurs entre les attributs, permet l'utilisation de caractères - non-ASCII (qui sont alors convertis en UTF8), échappe certains - caractères spéciaux avec des slashes inversés, et trie les attributs - en plaçant l'attribut "C" en dernière position.

    - -

    Si l'option LegacyDNStringFormat est présente, c'est - l'ancien format qui sera utilisé : les attributs sont triés avec - l'attribut "C" en première position, les séparateurs sont des - slashes non inversés, les caractères non-ASCII ne sont pas supportés - et le support des caractères spéciaux n'est pas fiable. + délimiteurs entre les attributs, permet l'utilisation de caractères + non-ASCII (qui sont alors convertis en UTF8), échappe certains + caractères spéciaux avec des slashes inversés, et trie les attributs + en plaçant l'attribut "C" en dernière position.

    + +

    Si l'option LegacyDNStringFormat est présente, c'est + l'ancien format qui sera utilisé : les attributs sont triés avec + l'attribut "C" en première position, les séparateurs sont des + slashes non inversés, les caractères non-ASCII ne sont pas supportés + et le support des caractères spéciaux n'est pas fiable.

@@ -1692,7 +1692,7 @@ SSLOptions +FakeBasicAuth -StrictRequire SSLRequireSSL -Interdit l'accès lorsque la requête HTTP n'utilise pas +Interdit l'accès lorsque la requête HTTP n'utilise pas SSL SSLRequireSSL directory @@ -1701,12 +1701,12 @@ SSL

-Cette directive interdit l'accès si HTTP sur SSL (c'est à dire HTTPS) -n'est pas activé pour la connexion courante. Ceci est très pratique dans -un serveur virtuel où SSL est activé ou dans un répertoire pour se -protéger des erreurs de configuration qui pourraient donner accès à des -ressources protégées. Lorsque cette directive est présente, toutes les -requêtes qui n'utilisent pas SSL sont rejetées.

+Cette directive interdit l'accès si HTTP sur SSL (c'est à dire HTTPS) +n'est pas activé pour la connexion courante. Ceci est très pratique dans +un serveur virtuel où SSL est activé ou dans un répertoire pour se +protéger des erreurs de configuration qui pourraient donner accès à des +ressources protégées. Lorsque cette directive est présente, toutes les +requêtes qui n'utilisent pas SSL sont rejetées.

Exemple SSLRequireSSL @@ -1717,7 +1717,7 @@ SSLRequireSSL SSLRequire -N'autorise l'accès que lorsqu'une expression booléenne +N'autorise l'accès que lorsqu'une expression booléenne complexe et arbitraire est vraie SSLRequire expression directory @@ -1725,34 +1725,34 @@ complexe et arbitraire est vraie AuthConfig -SSLRequire est obsolète -

SSLRequire est obsolète et doit en général être -remplacée par l'expression SSLRequire est obsolète +

SSLRequire est obsolète et doit en général être +remplacée par l'expression Require. La syntaxe ap_expr de l'expression Require est une extension de la syntaxe de SSLRequire, avec les -différences suivantes :

- -

Avec SSLRequire, les opérateurs de comparaison -<, <=, ... sont strictement équivalents -aux opérateurs lt, le, ... , et fonctionnent -selon une méthode qui compare tout d'abord la longueur des deux chaînes, -puis l'ordre alphabétique. Les expressions ap_expr, quant à elles, possèdent deux jeux -d'opérateurs de comparaison : les opérateurs <, -<=, ... effectuent une comparaison alphabétique de -chaînes, alors que les opérateurs -lt, -le, -... effectuent une comparaison d'entiers. Ces derniers possèdent aussi +différences suivantes :

+ +

Avec SSLRequire, les opérateurs de comparaison +<, <=, ... sont strictement équivalents +aux opérateurs lt, le, ... , et fonctionnent +selon une méthode qui compare tout d'abord la longueur des deux chaînes, +puis l'ordre alphabétique. Les expressions ap_expr, quant à elles, possèdent deux jeux +d'opérateurs de comparaison : les opérateurs <, +<=, ... effectuent une comparaison alphabétique de +chaînes, alors que les opérateurs -lt, -le, +... effectuent une comparaison d'entiers. Ces derniers possèdent aussi des alias sans tiret initial : lt, le, ...

-

Cette directive permet de spécifier une condition générale d'accès -qui doit être entièrement satisfaite pour que l'accès soit autorisé. -C'est une directive très puissante, car la condition d'accès spécifiée -est une expression booléenne complexe et arbitraire contenant un nombre -quelconque de vérifications quant aux autorisations d'accès.

+

Cette directive permet de spécifier une condition générale d'accès +qui doit être entièrement satisfaite pour que l'accès soit autorisé. +C'est une directive très puissante, car la condition d'accès spécifiée +est une expression booléenne complexe et arbitraire contenant un nombre +quelconque de vérifications quant aux autorisations d'accès.

L'expression doit respecter la syntaxe suivante (fournie ici sous la forme d'une notation dans le style de la grammaire BNF) :

@@ -1790,18 +1790,18 @@ variable ::= "%{" varname "}" function ::= funcname "(" funcargs ")" -

Pour varname, toute variable décrite dans Variables d'environnement pourra être utilisée. +

Pour varname, toute variable décrite dans Variables d'environnement pourra être utilisée. Pour funcname, vous trouverez la liste des fonctions disponibles dans la documentation ap_expr.

-

expression est interprétée et traduite +

expression est interprétée et traduite sous une forme machine interne lors du chargement de la configuration, -puis évaluée lors du traitement de la requête. Dans le contexte des -fichiers .htaccess, expression est interprétée et exécutée +puis évaluée lors du traitement de la requête. Dans le contexte des +fichiers .htaccess, expression est interprétée et exécutée chaque fois que le fichier .htaccess intervient lors du traitement de la -requête.

+requête.

Exemple SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \ @@ -1815,11 +1815,11 @@ SSLRequire ( %{SSL_CIPHER} !~ m/^(EXP|NULL)-/ \

La fonction PeerExtList(identifiant objet) -recherche une instance d'extension de certificat X.509 identifiée par +recherche une instance d'extension de certificat X.509 identifiée par identifiant objet (OID) dans le certificat client. L'expression est -évaluée à true si la partie gauche de la chaîne correspond exactement à -la valeur d'une extension identifiée par cet OID (Si plusieurs -extensions possèdent le même OID, l'une d'entre elles au moins doit +évaluée à true si la partie gauche de la chaîne correspond exactement à +la valeur d'une extension identifiée par cet OID (Si plusieurs +extensions possèdent le même OID, l'une d'entre elles au moins doit correspondre).

@@ -1829,22 +1829,22 @@ SSLRequire "foobar" in PeerExtList("1.2.3.4.5.6") -Notes à propos de la fonction PeerExtList +Notes à propos de la fonction PeerExtList
    -

  • L'identifiant objet peut être spécifié soit comme un nom -descriptif reconnu par la bibliothèque SSL, tel que -"nsComment", soit comme un OID numérique tel que +

  • L'identifiant objet peut être spécifié soit comme un nom +descriptif reconnu par la bibliothèque SSL, tel que +"nsComment", soit comme un OID numérique tel que "1.2.3.4.5.6".

    • -

  • Les expressions contenant des types connus de la bibliothèque -SSL sont transformées en chaînes avant comparaison. Pour les extensions -contenant un type non connu de la bibliothèque SSL, mod_ssl va essayer -d'interpréter la valeur s'il s'agit d'un des types ASN.1 primaires UTF8String, -IA5String, VisibleString, ou BMPString. Si l'extension correspond à un -de ces types, la chaîne sera convertie en UTF-8 si nécessaire, puis -comparée avec la partie gauche de l'expression.

    • +

  • Les expressions contenant des types connus de la bibliothèque +SSL sont transformées en chaînes avant comparaison. Pour les extensions +contenant un type non connu de la bibliothèque SSL, mod_ssl va essayer +d'interpréter la valeur s'il s'agit d'un des types ASN.1 primaires UTF8String, +IA5String, VisibleString, ou BMPString. Si l'extension correspond à un +de ces types, la chaîne sera convertie en UTF-8 si nécessaire, puis +comparée avec la partie gauche de l'expression.

 @@ -1854,14 +1854,14 @@ comparée avec la partie gauche de l'expression.

serveur HTTP Apache, pour d'autres exemples. Require expr -Syntaxe générale des expressions dans le +Syntaxe générale des expressions dans le serveur HTTP Apache SSLRenegBufferSize -Définit la taille du tampon de renégociation +Définit la taille du tampon de renégociation SSL SSLRenegBufferSize taille SSLRenegBufferSize 131072 @@ -1871,19 +1871,19 @@ SSL -

Si une renégociation SSL est requise dans un contexte de répertoire, +

Si une renégociation SSL est requise dans un contexte de répertoire, par exemple avec l'utilisation de SSLVerifyClient dans un bloc Directory ou -Location, mod_ssl doit mettre en tampon en mémoire tout corps de requête +Location, mod_ssl doit mettre en tampon en mémoire tout corps de requête HTTP en attendant qu'une nouvelle initialisation de connexion SSL puisse -être effectuée. Cette directive permet de définir la quantité de mémoire -à allouer pour ce tampon.

+être effectuée. Cette directive permet de définir la quantité de mémoire +à allouer pour ce tampon.

Notez que dans de nombreuses configurations, le client qui envoie un -corps de requête n'est pas forcément digne de confiance, et l'on doit -par conséquent prendre en considération la possibilité d'une attaque de -type déni de service lorsqu'on modifie la valeur de cette directive. +corps de requête n'est pas forcément digne de confiance, et l'on doit +par conséquent prendre en considération la possibilité d'une attaque de +type déni de service lorsqu'on modifie la valeur de cette directive.

Exemple @@ -1896,7 +1896,7 @@ SSLRenegBufferSize 262144 SSLStrictSNIVHostCheck -Contrôle de l'accès des clients non-SNI à un serveur virtuel à +Contrôle de l'accès des clients non-SNI à un serveur virtuel à base de nom. SSLStrictSNIVHostCheck on|off @@ -1907,18 +1907,18 @@ base de nom.

-Cette directive permet de contrôler l'accès des clients non-SNI à un serveur -virtuel à base de nom. Si elle est définie à on dans le -serveur virtuel à base de nom par défaut, les -clients non-SNI ne seront autorisés à accéder à aucun serveur virtuel -appartenant à cette combinaison IP/port. Par -contre, si elle est définie à on dans un serveur virtuel -quelconque, les clients non-SNI ne se verront interdire l'accès qu'à ce +Cette directive permet de contrôler l'accès des clients non-SNI à un serveur +virtuel à base de nom. Si elle est définie à on dans le +serveur virtuel à base de nom par défaut, les +clients non-SNI ne seront autorisés à accéder à aucun serveur virtuel +appartenant à cette combinaison IP/port. Par +contre, si elle est définie à on dans un serveur virtuel +quelconque, les clients non-SNI ne se verront interdire l'accès qu'à ce serveur.

-Cette option n'est disponible que si httpd a été compilé avec une +Cette option n'est disponible que si httpd a été compilé avec une version d'OpenSSL supportant SNI.

@@ -1932,25 +1932,25 @@ SSLStrictSNIVHostCheck on SSLProxyMachineCertificatePath -Répertoire des clés et certificats clients codés en PEM que +Répertoire des clés et certificats clients codés en PEM que le mandataire doit utiliser -SSLProxyMachineCertificatePath chemin-répertoire +SSLProxyMachineCertificatePath chemin-répertoire server config Sans objet

-Cette directive permet de définir le répertoire où sont stockés les clés -et certificats permettant au serveur mandataire de s'authentifier auprès +Cette directive permet de définir le répertoire où sont stockés les clés +et certificats permettant au serveur mandataire de s'authentifier auprès des serveurs distants.

-

Les fichiers de ce répertoire doivent être codés en PEM et ils sont -accédés via des noms de fichier sous forme de condensés ou hash. Vous -devez donc aussi créer des liens symboliques nommés +

Les fichiers de ce répertoire doivent être codés en PEM et ils sont +accédés via des noms de fichier sous forme de condensés ou hash. Vous +devez donc aussi créer des liens symboliques nommés valeur-de-hashage.N, et vous devez toujours vous -assurer que ce répertoire contient les liens symboliques appropriés.

+assurer que ce répertoire contient les liens symboliques appropriés.

-

Actuellement, les clés privées chiffrées ne sont pas supportées.

+

Actuellement, les clés privées chiffrées ne sont pas supportées.

 Exemple @@ -1963,26 +1963,26 @@ SSLProxyMachineCertificatePath "/usr/local/apache2/conf/proxy.crt/" SSLProxyMachineCertificateFile -Fichier contenant la concaténation des clés et certificats -clients codés en PEM que le mandataire doit utiliser +Fichier contenant la concaténation des clés et certificats +clients codés en PEM que le mandataire doit utiliser SSLProxyMachineCertificateFile chemin-fichier server config Sans objet

-Cette directive permet de définir le fichier tout-en-un où sont stockés -les clés et certificats permettant au serveur mandataire de -s'authentifier auprès des serveurs distants. +Cette directive permet de définir le fichier tout-en-un où sont stockés +les clés et certificats permettant au serveur mandataire de +s'authentifier auprès des serveurs distants.

-Le fichier spécifié est la simple concaténation des différents fichiers -de certificats codés en PEM, classés par ordre de préférence. Cette -directive s'utilise à la place ou en complément de la directive +Le fichier spécifié est la simple concaténation des différents fichiers +de certificats codés en PEM, classés par ordre de préférence. Cette +directive s'utilise à la place ou en complément de la directive SSLProxyMachineCertificatePath.

-

Actuellement, les clés privées chiffrées ne sont pas supportées.

+

Actuellement, les clés privées chiffrées ne sont pas supportées.

 Exemple @@ -1995,7 +1995,7 @@ SSLProxyMachineCertificateFile SSLProxyMachineCertificateChainFile -Fichier de certificats de CA encodés PEM concaténés permettant au +Fichier de certificats de CA encodés PEM concaténés permettant au mandataire de choisir un certificat SSLProxyMachineCertificateChainFile nom-fichier server config @@ -2003,22 +2003,22 @@ mandataire de choisir un certificat

-Cette directive permet de définir le fichier global où est enregistrée -la chaîne de certification pour tous les certificats clients utilisés. -Elle est nécessaire si le serveur distant présente une liste de +Cette directive permet de définir le fichier global où est enregistrée +la chaîne de certification pour tous les certificats clients utilisés. +Elle est nécessaire si le serveur distant présente une liste de certificats de CA qui ne sont pas les signataires directs d'un des -certificats clients configurés. +certificats clients configurés.

-Ce fichier contient tout simplement la concaténation des différents -fichiers de certificats encodés PEM. Au démarrage, chaque certificat -client configuré est examiné et une chaîne de certification est +Ce fichier contient tout simplement la concaténation des différents +fichiers de certificats encodés PEM. Au démarrage, chaque certificat +client configuré est examiné et une chaîne de certification est construite.

-Avertissement en matière de sécurité -

Si cette directive est définie, tous les certificats contenus dans le -fichier spécifié seront considérés comme étant de confiance, comme s'ils -étaient aussi désignés dans la directive Avertissement en matière de sécurité +

Si cette directive est définie, tous les certificats contenus dans le +fichier spécifié seront considérés comme étant de confiance, comme s'ils +étaient aussi désignés dans la directive SSLProxyCACertificateFile.

 Exemple @@ -2032,7 +2032,7 @@ SSLProxyMachineCertificateChainFile SSLProxyVerify -Niveau de vérification du certificat du serveur +Niveau de vérification du certificat du serveur distant SSLProxyVerify niveau SSLProxyVerify none @@ -2041,9 +2041,9 @@ distant -

Lorsqu'un mandataire est configuré pour faire suivre les requêtes +

Lorsqu'un mandataire est configuré pour faire suivre les requêtes vers un serveur SSL distant, cette directive permet de configurer la -vérification du certificat de ce serveur distant.

+vérification du certificat de ce serveur distant.

Les valeurs de niveaux disponibles sont les suivantes :

@@ -2051,19 +2051,19 @@ Les valeurs de niveaux disponibles sont les suivantes :

  • none: aucun certificat n'est requis pour le serveur distant
  • optional: - le serveur distant peut présenter un certificat valide
    • + le serveur distant peut présenter un certificat valide
  • require: - le serveur distant doit présenter un certificat valide
    • + le serveur distant doit présenter un certificat valide
  • optional_no_ca: - le serveur distant peut présenter un certificat valide
    - mais il n'est pas nécessaire qu'il soit vérifiable (avec succès).
    • + le serveur distant peut présenter un certificat valide
    + mais il n'est pas nécessaire qu'il soit vérifiable (avec succès).

    En pratique, seuls les niveaux none et -require sont vraiment intéressants, car le niveau +require sont vraiment intéressants, car le niveau optional ne fonctionne pas avec tous les serveurs, et -le niveau optional_no_ca va tout à fait à l'encontre de -l'idée que l'on peut se faire de l'authentification (mais peut tout de -même être utilisé pour établir des pages de test SSL, etc...).

    +le niveau optional_no_ca va tout à fait à l'encontre de +l'idée que l'on peut se faire de l'authentification (mais peut tout de +même être utilisé pour établir des pages de test SSL, etc...).

    Exemple @@ -2076,7 +2076,7 @@ SSLProxyVerify require SSLProxyVerifyDepth Niveau de profondeur maximum dans les certificats de CA -lors de la vérification du certificat du serveur distant +lors de la vérification du certificat du serveur distant     SSLProxyVerifyDepth niveau SSLProxyVerifyDepth 1 server config @@ -2085,19 +2085,19 @@ lors de la vérification du certificat du serveur distant

    -Cette directive permet de définir le niveau de profondeur maximum -jusqu'auquel mod_ssl doit aller au cours de sa vérification avant de -décider que le serveur distant ne possède pas de certificat valide.

    +Cette directive permet de définir le niveau de profondeur maximum +jusqu'auquel mod_ssl doit aller au cours de sa vérification avant de +décider que le serveur distant ne possède pas de certificat valide.

    La profondeur correspond en fait au nombre maximum de fournisseurs de -certificats intermédiaires, c'est à dire le nombre maximum de +certificats intermédiaires, c'est à dire le nombre maximum de certificats -de CA que l'on peut consulter lors de la vérification du certificat du +de CA que l'on peut consulter lors de la vérification du certificat du serveur distant. Une profondeur de 0 signifie que seuls les certificats -de serveurs distants auto-signés sont acceptés, et la profondeur par -défaut de 1 que le certificat du serveur distant peut être soit -auto-signé, soit signé par une CA connue directement du serveur (en -d'autres termes, le certificat de CA est référencé par la directive +de serveurs distants auto-signés sont acceptés, et la profondeur par +défaut de 1 que le certificat du serveur distant peut être soit +auto-signé, soit signé par une CA connue directement du serveur (en +d'autres termes, le certificat de CA est référencé par la directive SSLProxyCACertificatePath), etc...

    Exemple @@ -2110,7 +2110,7 @@ SSLProxyVerifyDepth 10 SSLProxyCheckPeerExpire -Configuration de la vérification de l'expiration du +Configuration de la vérification de l'expiration du certificat du serveur distant SSLProxyCheckPeerExpire on|off @@ -2120,9 +2120,9 @@ certificat du serveur distant

    -Cette directive permet de définir si l'expiration du certificat du -serveur distant doit être vérifiée ou non. Si la vérification échoue, un -code d'état 502 (Bad Gateway) est envoyé. +Cette directive permet de définir si l'expiration du certificat du +serveur distant doit être vérifiée ou non. Si la vérification échoue, un +code d'état 502 (Bad Gateway) est envoyé.

    Exemple @@ -2134,7 +2134,7 @@ SSLProxyCheckPeerExpire on SSLProxyCheckPeerCN -Configuration de la vérification du champ CN du certificat +Configuration de la vérification du champ CN du certificat du serveur distant SSLProxyCheckPeerCN on|off @@ -2144,16 +2144,16 @@ du serveur distant

    -Cette directive permet de définir si le champ CN du certificat -du serveur distant doit être comparé au nom de serveur de l'URL de la -requête. S'ils ne correspondent pas, un -code d'état 502 (Bad Gateway) est envoyé. +Cette directive permet de définir si le champ CN du certificat +du serveur distant doit être comparé au nom de serveur de l'URL de la +requête. S'ils ne correspondent pas, un +code d'état 502 (Bad Gateway) est envoyé.

    -A partir de la version 2.4.5, SSLProxyCheckPeerCN a été remplacé par SSLProxyCheckPeerName, et sa définition +A partir de la version 2.4.5, SSLProxyCheckPeerCN a été remplacé par SSLProxyCheckPeerName, et sa définition n'est prise en compte que si SSLProxyCheckPeerName off a -été spécifié. +été spécifié.

    Exemple @@ -2165,34 +2165,34 @@ SSLProxyCheckPeerCN on SSLProxyCheckPeerName -Configure la vérification du nom d'hôte dans les +Configure la vérification du nom d'hôte dans les certificats serveur distants SSLProxyCheckPeerName on|off SSLProxyCheckPeerName on server config virtual host -Disponible à partir de la version 2.4.5 du serveur HTTP +Disponible à partir de la version 2.4.5 du serveur HTTP Apache

    -Cette directive permet de configurer la vérification du nom d'hôte dans +Cette directive permet de configurer la vérification du nom d'hôte dans les certificats de serveur lorsque mod_ssl agit en tant que client SSL. -La vérification est concluante si le nom d'hôte de l'URI de la requête -correspond soit à l'extension subjectAltName, soit à l'un des attributs -CN dans le sujet du certificat. Si la vérification échoue, la requête -SSL est annulée et un code d'erreur 502 (Bad Gateway) est renvoyé. Cette +La vérification est concluante si le nom d'hôte de l'URI de la requête +correspond soit à l'extension subjectAltName, soit à l'un des attributs +CN dans le sujet du certificat. Si la vérification échoue, la requête +SSL est annulée et un code d'erreur 502 (Bad Gateway) est renvoyé. Cette directive remplace la directive SSLProxyCheckPeerCN qui ne prenait en -compte que le premier attribut CN pour la vérification du nom d'hôte. +compte que le premier attribut CN pour la vérification du nom d'hôte.

    -La vérification du nom d'hôte avec caractères générique est supportée de -la manière suivante : les entrées subjectAltName de type dNSName ou les -attributs CN commençant par *. correspondront à tout nom -DNS comportant le même nombre d'éléments et le même suffixe (par -exemple, *.example.org correspondra à -foo.example.org, mais pas à +La vérification du nom d'hôte avec caractères générique est supportée de +la manière suivante : les entrées subjectAltName de type dNSName ou les +attributs CN commençant par *. correspondront à tout nom +DNS comportant le même nombre d'éléments et le même suffixe (par +exemple, *.example.org correspondra à +foo.example.org, mais pas à foo.bar.example.org).

    @@ -2200,7 +2200,7 @@ exemple, *.example.org correspondra à SSLProxyEngine -Interrupteur marche/arrêt du moteur de mandataire +Interrupteur marche/arrêt du moteur de mandataire SSL SSLProxyEngine on|off SSLProxyEngine off @@ -2209,20 +2209,20 @@ SSL

    -Cette directive permet d'activer/désactiver l'utilisation du moteur de -protocole SSL/TLS pour le mandataire. On l'utilise en général à -l'intérieur d'une section VirtualHost pour activer le protocole SSL/TLS dans le cadre d'un mandataire pour un serveur virtuel particulier. Par -défaut, le moteur de protocole SSL/TLS est désactivé pour la fonction de +défaut, le moteur de protocole SSL/TLS est désactivé pour la fonction de mandataire du serveur principal et de tous les serveurs virtuels -configurés.

    +configurés.

    -

    Notez que la directive SSLProxyEngine ne doit généralement pas être -utilisée dans le cadre d'un serveur virtuel qui agit en tant que +

    Notez que la directive SSLProxyEngine ne doit généralement pas être +utilisée dans le cadre d'un serveur virtuel qui agit en tant que mandataire direct (via les directives <Proxy> ou -<ProxyRequest>). SSLProxyEngine n'est pas nécessaire pour activer -un serveur mandataire direct pour les requêtes SSL/TLS.

    +<ProxyRequest>). SSLProxyEngine n'est pas nécessaire pour activer +un serveur mandataire direct pour les requêtes SSL/TLS.

    Exemple @@ -2238,10 +2238,10 @@ un serveur mandataire direct pour les requêtes SSL/TLS.

    SSLProxyProtocol -Définit les protocoles SSL disponibles pour la fonction de +Définit les protocoles SSL disponibles pour la fonction de mandataire SSLProxyProtocol [+|-]protocole ... -SSLProxyProtocol all -SSLv3 (jusqu'à la version 2.4.16: all) +SSLProxyProtocol all -SSLv3 (jusqu'à la version 2.4.16: all) server config virtual host Options @@ -2249,11 +2249,11 @@ mandataire

    -Cette directive permet de définir les protocoles SSL que mod_ssl peut -utiliser lors de l'élaboration de son environnement de serveur pour la +Cette directive permet de définir les protocoles SSL que mod_ssl peut +utiliser lors de l'élaboration de son environnement de serveur pour la fonction de mandataire. Il ne se connectera qu'aux serveurs utilisant un -des protocoles spécifiés.

    -

    Veuillez vous reporter à la directive +

    Veuillez vous reporter à la directive SSLProtocol pour plus d'informations.

    @@ -2261,7 +2261,7 @@ module="mod_ssl">SSLProtocol pour plus d'informations. SSLProxyCipherSuite -Algorithmes de chiffrement disponibles pour la négociation +Algorithmes de chiffrement disponibles pour la négociation lors de l'initialisation d'une connexion SSL de mandataire SSLProxyCipherSuite algorithmes SSLProxyCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP @@ -2271,9 +2271,9 @@ lors de l'initialisation d'une connexion SSL de mandataire .htaccess     AuthConfig -

    Cette directive est équivalente à la directive -SSLCipherSuite, mais s'applique à une connexion de -mandataire. Veuillez vous reporter à la directive Cette directive est équivalente à la directive +SSLCipherSuite, mais s'applique à une connexion de +mandataire. Veuillez vous reporter à la directive SSLCipherSuite pour plus d'informations.

     @@ -2281,26 +2281,26 @@ d'informations.

     SSLProxyCACertificatePath -Répertoire des certificats de CA codés en PEM pour +Répertoire des certificats de CA codés en PEM pour l'authentification des serveurs distants -SSLProxyCACertificatePath chemin-répertoire +SSLProxyCACertificatePath chemin-répertoire server config virtual host

    -Cette directive permet de spécifier le répertoire où sont stockés les -certificats des Autorités de Certification (CAs) pour les serveurs -distants auxquels vous avez à faire. On les utilise pour vérifier le +Cette directive permet de spécifier le répertoire où sont stockés les +certificats des Autorités de Certification (CAs) pour les serveurs +distants auxquels vous avez à faire. On les utilise pour vérifier le certificat du serveur distant lors de l'authentification de ce dernier.

    -Les fichiers de ce répertoire doivent être codés en PEM et ils sont -accédés via des noms de fichier sous forme de condensés ou hash. Il ne -suffit donc pas de placer les fichiers de certificats dans ce répertoire -: vous devez aussi créer des liens symboliques nommés +Les fichiers de ce répertoire doivent être codés en PEM et ils sont +accédés via des noms de fichier sous forme de condensés ou hash. Il ne +suffit donc pas de placer les fichiers de certificats dans ce répertoire +: vous devez aussi créer des liens symboliques nommés valeur-de-hashage.N, et vous devez toujours vous -assurer que ce répertoire contient les liens symboliques appropriés.

    +assurer que ce répertoire contient les liens symboliques appropriés.

    Exemple SSLProxyCACertificatePath "/usr/local/apache2/conf/ssl.crt/" @@ -2311,21 +2311,21 @@ SSLProxyCACertificatePath "/usr/local/apache2/conf/ssl.crt/" SSLProxyCACertificateFile -Fichier contenant la concaténation des certificats de CA -codés en PEM pour l'authentification des serveurs distants +Fichier contenant la concaténation des certificats de CA +codés en PEM pour l'authentification des serveurs distants SSLProxyCACertificateFile file-path server config virtual host

    -Cette directive permet de définir le fichier tout-en-un où sont -stockés les certificats des Autorités de Certification (CA) pour les -serveurs distants auxquels vous avez à faire. On les utilise +Cette directive permet de définir le fichier tout-en-un où sont +stockés les certificats des Autorités de Certification (CA) pour les +serveurs distants auxquels vous avez à faire. On les utilise lors de l'authentification du serveur distant. Un tel fichier contient -la simple concaténation des différents fichiers de certificats codés en -PEM, classés par ordre de préférence. On peut utiliser cette directive à -la place et/ou en complément de la directive SSLProxyCACertificatePath.

    Exemple @@ -2338,26 +2338,26 @@ SSLProxyCACertificateFile SSLProxyCARevocationPath -Répertoire des CRLs de CA codés en PEM pour +Répertoire des CRLs de CA codés en PEM pour l'authentification des serveurs distants -SSLProxyCARevocationPath chemin-répertoire +SSLProxyCARevocationPath chemin-répertoire server config virtual host

    -Cette directive permet de définir le répertoire où sont stockées les -Listes de Révocation de Certificats (CRL) des Autorités de Certification -(CAs) pour les serveurs distants auxquels vous avez à faire. On les -utilise pour révoquer les certificats des serveurs distants au cours de +Cette directive permet de définir le répertoire où sont stockées les +Listes de Révocation de Certificats (CRL) des Autorités de Certification +(CAs) pour les serveurs distants auxquels vous avez à faire. On les +utilise pour révoquer les certificats des serveurs distants au cours de l'authentification de ces derniers.

    -Les fichiers de ce répertoire doivent être codés en PEM et ils sont -accédés via des noms de fichier sous forme de condensés ou hash. Il ne -suffit donc pas de placer les fichiers de CRL dans ce répertoire -: vous devez aussi créer des liens symboliques nommés +Les fichiers de ce répertoire doivent être codés en PEM et ils sont +accédés via des noms de fichier sous forme de condensés ou hash. Il ne +suffit donc pas de placer les fichiers de CRL dans ce répertoire +: vous devez aussi créer des liens symboliques nommés valeur-de-hashage.rN, et vous devez toujours vous -assurer que ce répertoire contient les liens symboliques appropriés.

    +assurer que ce répertoire contient les liens symboliques appropriés.

    Exemple SSLProxyCARevocationPath "/usr/local/apache2/conf/ssl.crl/" @@ -2368,7 +2368,7 @@ SSLProxyCARevocationPath "/usr/local/apache2/conf/ssl.crl/" SSLProxyCARevocationFile -Fichier contenant la concaténation des CRLs de CA codés en +Fichier contenant la concaténation des CRLs de CA codés en PEM pour l'authentification des serveurs distants SSLProxyCARevocationFile chemin-fichier server config @@ -2376,13 +2376,13 @@ PEM pour l'authentification des serveurs distants

    -Cette directive permet de définir le fichier tout-en-un où sont -rassemblées les Listes de Révocation de Certificats (CRLs) des Autorités +Cette directive permet de définir le fichier tout-en-un où sont +rassemblées les Listes de Révocation de Certificats (CRLs) des Autorités de certification (CAs) pour les serveurs distants auxquels vous -avez à faire. On les utilise pour l'authentification des serveurs -distants. Un tel fichier contient la simple concaténation des différents -fichiers de CRLs codés en PEM, classés par ordre de préférence. Cette -directive peut être utilisée à la place et/ou en complément de la +avez à faire. On les utilise pour l'authentification des serveurs +distants. Un tel fichier contient la simple concaténation des différents +fichiers de CRLs codés en PEM, classés par ordre de préférence. Cette +directive peut être utilisée à la place et/ou en complément de la directive SSLProxyCARevocationPath.

    Exemple @@ -2396,7 +2396,7 @@ SSLProxyCARevocationFile SSLProxyCARevocationCheck -Active la vérification des révocations basée sur les CRLs +Active la vérification des révocations basée sur les CRLs pour l'authentification du serveur distant SSLProxyCARevocationCheck chain|leaf|none SSLProxyCARevocationCheck none @@ -2405,29 +2405,29 @@ pour l'authentification du serveur distant

    -Active la vérification des révocations basée sur les Listes de -révocations de Certificats (CRL) pour les serveurs distants +Active la vérification des révocations basée sur les Listes de +révocations de Certificats (CRL) pour les serveurs distants auxquels vous vous connectez. A moins une des directives SSLProxyCARevocationFile ou SSLProxyCARevocationPath doit être définie. -Lorsque cette directive est définie à chain (valeur -recommandée), les vérifications CRL sont effectuées sur tous les -certificats de la chaîne, alors que la valeur leaf limite -la vérification au certificat hors chaîne (la feuille). +module="mod_ssl">SSLProxyCARevocationPath doit être définie. +Lorsque cette directive est définie à chain (valeur +recommandée), les vérifications CRL sont effectuées sur tous les +certificats de la chaîne, alors que la valeur leaf limite +la vérification au certificat hors chaîne (la feuille).

    -Lorsque la directive est définie à <code>chain</code> ou -<code>leaf</code>, les CRLs doivent être disponibles pour que la -validation réussisse +Lorsque la directive est définie à <code>chain</code> ou +<code>leaf</code>, les CRLs doivent être disponibles pour que la +validation réussisse

    -Avant la version 2.3.15, les vérifications CRL dans mod_ssl -réussissaient même si aucune CRL n'était trouvée dans les chemins -définis par les directives SSLProxyCARevocationFile ou SSLProxyCARevocationPath. Le comportement a -changé avec l'introduction de cette directive : lorsque la vérification -est activée, les CRLs doivent être présentes pour que la -validation réussisse ; dans le cas contraire, elle échouera avec une +changé avec l'introduction de cette directive : lorsque la vérification +est activée, les CRLs doivent être présentes pour que la +validation réussisse ; dans le cas contraire, elle échouera avec une erreur "CRL introuvable".

    @@ -2441,7 +2441,7 @@ SSLProxyCARevocationCheck chain SSLUserName -Nom de la variable servant à déterminer le nom de +Nom de la variable servant à déterminer le nom de l'utilisateur SSLUserName nom-var server config @@ -2451,16 +2451,16 @@ l'utilisateur

    -Cette variable permet de définir le champ "user" de l'objet de la -requête Apache. Ce champ est utilisé par des modules de plus bas niveau -pour identifier l'utilisateur avec une chaîne de caractères. En +Cette variable permet de définir le champ "user" de l'objet de la +requête Apache. Ce champ est utilisé par des modules de plus bas niveau +pour identifier l'utilisateur avec une chaîne de caractères. En particulier, l'utilisation de cette directive peut provoquer la -définition de la variable d'environnement REMOTE_USER. -La valeur de l'argument nom-var peut correspondre à toute REMOTE_USER. +La valeur de l'argument nom-var peut correspondre à toute variable d'environnement SSL.

    Notez que cette directive est sans effet si l'option -FakeBasicAuth est utilisée (voir FakeBasicAuth est utilisée (voir SSLOptions).

    Exemple @@ -2474,17 +2474,17 @@ SSLUserName SSL_CLIENT_S_DN_CN SSLHonorCipherOrder Option permettant de classer les algorithmes de chiffrement -du serveur par ordre de préférence +du serveur par ordre de préférence SSLHonorCipherOrder on|off SSLHonorCipherOrder off server config virtual host -

    Normalement, ce sont les préférences du client qui sont prises en +

    Normalement, ce sont les préférences du client qui sont prises en compte lors du choix d'un algorithme de chiffrement au cours d'une -négociation SSLv3 ou TLSv1. Si cette directive est activée, ce sont les -préférences du serveur qui seront prises en compte à la place.

    +négociation SSLv3 ou TLSv1. Si cette directive est activée, ce sont les +préférences du serveur qui seront prises en compte à la place.

    Exemple SSLHonorCipherOrder on @@ -2495,7 +2495,7 @@ SSLHonorCipherOrder on SSLCryptoDevice -Active l'utilisation d'un accélérateur matériel de +Active l'utilisation d'un accélérateur matériel de chiffrement SSLCryptoDevice moteur SSLCryptoDevice builtin @@ -2503,20 +2503,20 @@ chiffrement

    -Cette directive permet d'activer l'utilisation d'une carte accélératrice +Cette directive permet d'activer l'utilisation d'une carte accélératrice de chiffrement qui prendra en compte certaines parties du traitement -relatif à SSL. Cette directive n'est utilisable que si la boîte à -outils SSL à été compilée avec le support "engine" ; les versions 0.9.7 -et supérieures d'OpenSSL possèdent par défaut le support "engine", alors -qu'avec la version 0.9.6, il faut utiliser les distributions séparées +relatif à SSL. Cette directive n'est utilisable que si la boîte à +outils SSL à été compilée avec le support "engine" ; les versions 0.9.7 +et supérieures d'OpenSSL possèdent par défaut le support "engine", alors +qu'avec la version 0.9.6, il faut utiliser les distributions séparées "-engine".

    -

    Pour déterminer les moteurs supportés, exécutez la commande +

    Pour déterminer les moteurs supportés, exécutez la commande "openssl engine".

    Exemple -# Pour un accélérateur Broadcom : +# Pour un accélérateur Broadcom : SSLCryptoDevice ubsec @@ -2525,7 +2525,7 @@ SSLCryptoDevice ubsec SSLOCSPEnable -Active la validation OCSP de la chaîne de certificats du +Active la validation OCSP de la chaîne de certificats du client SSLOCSPEnable on|off SSLOCSPEnable off @@ -2533,14 +2533,14 @@ client virtual host -

    Cette directive permet d'activer la validation OCSP de la chaîne de -certificats du client. Si elle est activée, les certificats de la chaîne -de certificats du client seront validés auprès d'un répondeur OCSP, une -fois la vérification normale effectuée (vérification des CRLs +

    Cette directive permet d'activer la validation OCSP de la chaîne de +certificats du client. Si elle est activée, les certificats de la chaîne +de certificats du client seront validés auprès d'un répondeur OCSP, une +fois la vérification normale effectuée (vérification des CRLs incluse).

    -

    Le répondeur OCSP utilisé est soit extrait du certificat lui-même, -soit spécifié dans la configuration ; voir les directives Le répondeur OCSP utilisé est soit extrait du certificat lui-même, +soit spécifié dans la configuration ; voir les directives SSLOCSPDefaultResponder et SSLOCSPOverrideResponder.

    @@ -2557,24 +2557,24 @@ SSLOCSPOverrideResponder on SSLOCSPDefaultResponder -Définit l'URI du répondeur par défaut pour la validation +Définit l'URI du répondeur par défaut pour la validation OCSP SSLOCSDefaultResponder uri server config virtual host -

    Cette directive permet de définir le répondeur OCSP par défaut. Si la +

    Cette directive permet de définir le répondeur OCSP par défaut. Si la directive SSLOCSPOverrideResponder n'est pas activée, -l'URI spécifié ne sera utilisé que si aucun URI de répondeur n'est -spécifié dans le certificat en cours de vérification.

    +module="mod_ssl">SSLOCSPOverrideResponder n'est pas activée, +l'URI spécifié ne sera utilisé que si aucun URI de répondeur n'est +spécifié dans le certificat en cours de vérification.

         SSLOCSPOverrideResponder -Force l'utilisation de l'URI du répondeur par défaut pour +Force l'utilisation de l'URI du répondeur par défaut pour la validation OCSP SSLOCSPOverrideResponder on|off SSLOCSPOverrideResponder off @@ -2583,91 +2583,105 @@ la validation OCSP

    Force l'utilisation, au cours d'une validation OCSP de certificat, du -répondeur OCSP par défaut spécifié dans la configuration, que le -certificat en cours de vérification fasse mention d'un répondeur OCSP ou +répondeur OCSP par défaut spécifié dans la configuration, que le +certificat en cours de vérification fasse mention d'un répondeur OCSP ou non.

         SSLOCSPResponseTimeSkew -Dérive temporelle maximale autorisée pour la validation des -réponses OCSP +Dérive temporelle maximale autorisée pour la validation des +réponses OCSP SSLOCSPResponseTimeSkew secondes SSLOCSPResponseTimeSkew 300 server config virtual host -

    Cette option permet de définir la dérive temporelle maximale -autorisée pour les réponses OCSP (lors de la vérification des champs +

    Cette option permet de définir la dérive temporelle maximale +autorisée pour les réponses OCSP (lors de la vérification des champs thisUpdate et nextUpdate).

         SSLOCSPResponseMaxAge -Age maximum autorisé pour les réponses OCSP +Age maximum autorisé pour les réponses OCSP SSLOCSPResponseMaxAge secondes SSLOCSPResponseMaxAge -1 server config virtual host -

    Cette option permet de définir l'âge maximum autorisé (la -"fraicheur") des réponses OCSP. La valeur par défault (-1) -signifie qu'aucun âge maximum n'est défini ; autrement dit, les -réponses OCSP sont considérées comme valides tant que la valeur de leur +

    Cette option permet de définir l'âge maximum autorisé (la +"fraicheur") des réponses OCSP. La valeur par défault (-1) +signifie qu'aucun âge maximum n'est défini ; autrement dit, les +réponses OCSP sont considérées comme valides tant que la valeur de leur champ nextUpdate se situe dans le futur.

         SSLOCSPResponderTimeout -Délai d'attente pour les requêtes OCSP +Délai d'attente pour les requêtes OCSP SSLOCSPResponderTimeout secondes SSLOCSPResponderTimeout 10 server config virtual host -

    Cette option permet de définir le délai d'attente pour les requêtes à -destination des répondeurs OCSP, lorsque la directive SSLOCSPEnable est à on.

    +

    Cette option permet de définir le délai d'attente pour les requêtes à +destination des répondeurs OCSP, lorsque la directive SSLOCSPEnable est à on.

    +     +     + + +SSLOCSPProxyURL +Adresse de mandataire à utiliser pour les requêtes OCSP +SSLOCSPProxyURL url +server config +virtual host +Disponible à partir de la version 2.4.19 du serveur HTTP Apache + + +

    Cette directive permet de définir l'URL d'un mandataire HTTP qui devra être +utilisé pour toutes les requêtes vers un répondeur OCSP.

         SSLInsecureRenegotiation -Option permettant d'activer le support de la renégociation -non sécurisée +Option permettant d'activer le support de la renégociation +non sécurisée SSLInsecureRenegotiation on|off SSLInsecureRenegotiation off server config virtual host Disponible depuis httpd 2.2.15, si une version 0.9.8m -ou supérieure d'OpenSSL est utilisée +ou supérieure d'OpenSSL est utilisée -

    Comme il a été spécifié, toutes les versions des protocoles SSL et -TLS (jusqu'à la version 1.2 de TLS incluse) étaient vulnérables à une +

    Comme il a été spécifié, toutes les versions des protocoles SSL et +TLS (jusqu'à la version 1.2 de TLS incluse) étaient vulnérables à une attaque de type Man-in-the-Middle (CVE-2009-3555) -au cours d'une renégociation. Cette vulnérabilité permettait à un -attaquant de préfixer la requête HTTP (telle qu'elle était vue du -serveur) avec un texte choisi. Une extension du protocole a été -développée pour corriger cette vulnérabilité, sous réserve qu'elle soit -supportée par le client et le serveur.

    - -

    Si mod_ssl est lié à une version 0.9.8m ou -supérieure d'OpenSSL, par défaut, la renégociation n'est accordée qu'aux +au cours d'une renégociation. Cette vulnérabilité permettait à un +attaquant de préfixer la requête HTTP (telle qu'elle était vue du +serveur) avec un texte choisi. Une extension du protocole a été +développée pour corriger cette vulnérabilité, sous réserve qu'elle soit +supportée par le client et le serveur.

    + +

    Si mod_ssl est lié à une version 0.9.8m ou +supérieure d'OpenSSL, par défaut, la renégociation n'est accordée qu'aux clients qui supportent la nouvelle extension du protocole. Si -cette directive est activée, la renégociation sera accordée aux anciens -clients (non patchés), quoique de manière non sécurisée

    +cette directive est activée, la renégociation sera accordée aux anciens +clients (non patchés), quoique de manière non sécurisée

    -Avertissement à propos de la sécurité -

    Si cette directive est activée, les connexions SSL seront vulnérables -aux attaques de type préfixe Man-in-the-Middle comme décrit dans Avertissement à propos de la sécurité +

    Si cette directive est activée, les connexions SSL seront vulnérables +aux attaques de type préfixe Man-in-the-Middle comme décrit dans CVE-2009-3555.

     @@ -2677,48 +2691,48 @@ SSLInsecureRenegotiation on     -

    La variable d'environnement SSL_SECURE_RENEG peut être -utilisée dans un script SSI ou CGI pour déterminer si la renégociation -sécurisée est supportée pour une connexion SSL donnée.

    +

    La variable d'environnement SSL_SECURE_RENEG peut être +utilisée dans un script SSI ou CGI pour déterminer si la renégociation +sécurisée est supportée pour une connexion SSL donnée.

         SSLUseStapling -Active l'ajout des réponses OCSP à la négociation TLS +Active l'ajout des réponses OCSP à la négociation TLS SSLUseStapling on|off SSLUseStapling off server config virtual host -Disponible si on utilise OpenSSL version 0.9.8h ou supérieure +Disponible si on utilise OpenSSL version 0.9.8h ou supérieure

    Cette directive permet d'activer l'"Agrafage OCSP" (OCSP stapling) -selon la définition de l'extension TLS "Certificate Status Request" -fournie dans la RFC 6066. Si elle est activée et si le client le -demande, mod_ssl va inclure une réponse OCSP à propos de son propre -certificat dans la négociation TLS. Pour pouvoir activer l'Agrafage -OCSP, il est nécessaire de configurer un SSLStaplingCache.

    -

    L'agrafage OCSP dispense le client de requérir le serveur OCSP -directement ; il faut cependant noter que selon les spécifications de la -RFC 6066, la réponse CertificateStatus du serveur ne peut -inclure une réponse OCSP que pour un seul certificat. Pour les -certificats de serveur comportant des certificats de CA intermédiaires -dans leur chaîne (c'est un cas typique de nos jours), l'implémentation +

    L'agrafage OCSP dispense le client de requérir le serveur OCSP +directement ; il faut cependant noter que selon les spécifications de la +RFC 6066, la réponse CertificateStatus du serveur ne peut +inclure une réponse OCSP que pour un seul certificat. Pour les +certificats de serveur comportant des certificats de CA intermédiaires +dans leur chaîne (c'est un cas typique de nos jours), l'implémentation actuelle de l'agrafage OCSP n'atteint que partiellement l'objectif d' -"économie en questions/réponse et en ressources". Pour plus de détails, +"économie en questions/réponse et en ressources". Pour plus de détails, voir la RFC 6961 (TLS Multiple Certificate Status Extension).

    -

    Lorsque l'agrafage OCSP est activé, le mutex -ssl-stapling contrôle l'accès au cache de l'agrafage OCSP -afin de prévenir toute corruption, et le mutex -sss-stapling-refresh contrôle le raffraîchissement des -réponses OCSP. Ces mutex peuvent être configurés via la directive +

    Lorsque l'agrafage OCSP est activé, le mutex +ssl-stapling contrôle l'accès au cache de l'agrafage OCSP +afin de prévenir toute corruption, et le mutex +sss-stapling-refresh contrôle le raffraîchissement des +réponses OCSP. Ces mutex peuvent être configurés via la directive Mutex.

    @@ -2729,15 +2743,15 @@ réponses OCSP. Ces mutex peuvent être configurés via la dire Configuration du cache pour l'agrafage OCSP SSLStaplingCache type server config -Disponible si on utilise OpenSSL version 0.9.8h ou supérieure +Disponible si on utilise OpenSSL version 0.9.8h ou supérieure -

    Si SSLUseStapling est à "on", -cette directive permet de configurer le cache destiné à stocker les -réponses OCSP incluses dans la négociation TLS. La configuration d'un +

    Si SSLUseStapling est à "on", +cette directive permet de configurer le cache destiné à stocker les +réponses OCSP incluses dans la négociation TLS. La configuration d'un cache est obligatoire pour pouvoir utiliser l'agrafage OCSP. A l'exception de none et nonenotnull, cette -directive supporte les mêmes types de stockage que la directive +directive supporte les mêmes types de stockage que la directive SSLSessionCache.

     @@ -2745,198 +2759,198 @@ directive supporte les mêmes types de stockage que la directive SSLStaplingResponseTimeSkew -Durée de vie maximale autorisée des réponses OCSP incluses dans la -négociation TLS +Durée de vie maximale autorisée des réponses OCSP incluses dans la +négociation TLS SSLStaplingResponseTimeSkew secondes SSLStaplingResponseTimeSkew 300 server config virtual host -Disponible si on utilise OpenSSL version 0.9.8h ou supérieure +Disponible si on utilise OpenSSL version 0.9.8h ou supérieure -

    Cette directive permet de spécifier l'intervalle de temps maximum que -mod_ssl va calculer en faisant la différence entre les contenus des -champs nextUpdate et thisUpdate des réponses -OCSP incluses dans la négociation TLS. Pour pouvoir utiliser cette +

    Cette directive permet de spécifier l'intervalle de temps maximum que +mod_ssl va calculer en faisant la différence entre les contenus des +champs nextUpdate et thisUpdate des réponses +OCSP incluses dans la négociation TLS. Pour pouvoir utiliser cette directive, SSLUseStapling doit -être à "on".

    +être à "on".

         SSLStaplingResponderTimeout -Temps d'attente maximum pour les requêtes vers les serveurs +Temps d'attente maximum pour les requêtes vers les serveurs OCSP SSLStaplingResponderTimeout secondes SSLStaplingResponderTimeout 10 server config virtual host -Disponible si on utilise OpenSSL version 0.9.8h ou supérieure +Disponible si on utilise OpenSSL version 0.9.8h ou supérieure -

    Cette directive permet de définir le temps d'attente maximum lorsque -mod_ssl envoie une requête vers un serveur OCSP afin d'obtenir une -réponse destinée à être incluse dans les négociations TLS avec les +

    Cette directive permet de définir le temps d'attente maximum lorsque +mod_ssl envoie une requête vers un serveur OCSP afin d'obtenir une +réponse destinée à être incluse dans les négociations TLS avec les clients (SSLUseStapling doit -avoir été activée au préalable).

    +avoir été activée au préalable).

         SSLStaplingResponseMaxAge -Age maximum autorisé des réponses OCSP incluses dans la -négociation TLS +Age maximum autorisé des réponses OCSP incluses dans la +négociation TLS SSLStaplingResponseMaxAge secondes SSLStaplingResponseMaxAge -1 server config virtual host -Disponible si on utilise OpenSSL version 0.9.8h ou supérieure +Disponible si on utilise OpenSSL version 0.9.8h ou supérieure -

    Cette directive permet de définir l'âge maximum autorisé -("fraîcheur") des réponses OCSP incluses dans la négociation TLS +

    Cette directive permet de définir l'âge maximum autorisé +("fraîcheur") des réponses OCSP incluses dans la négociation TLS (SSLUseStapling doit -avoir été activée au préalable). La valeur par défaut (-1) -ne définit aucun âge maximum, ce qui signifie que les réponses OCSP sont -considérées comme valides à partir du moment où le contenu de leur champ +avoir été activée au préalable). La valeur par défaut (-1) +ne définit aucun âge maximum, ce qui signifie que les réponses OCSP sont +considérées comme valides à partir du moment où le contenu de leur champ nextUpdate se trouve dans le futur.

         SSLStaplingStandardCacheTimeout -Durée de vie des réponses OCSP dans le cache +Durée de vie des réponses OCSP dans le cache SSLStaplingStandardCacheTimeout secondes SSLStaplingStandardCacheTimeout 3600 server config virtual host -Disponible si on utilise OpenSSL version 0.9.8h ou supérieure +Disponible si on utilise OpenSSL version 0.9.8h ou supérieure -

    Cette directive permet de définir la durée de vie des réponses OCSP -dans le cache configuré via la directive Cette directive permet de définir la durée de vie des réponses OCSP +dans le cache configuré via la directive SSLStaplingCache. Elle ne s'applique qu'aux -réponse valides, alors que la directive valides, alors que la directive SSLStaplingErrorCacheTimeout s'applique aux -réponses invalides ou non disponibles. +réponses invalides ou non disponibles.

    SSLStaplingReturnResponderErrors -Transmet au client les erreurs survenues lors des requêtes +Transmet au client les erreurs survenues lors des requêtes OCSP SSLStaplingReturnResponderErrors on|off SSLStaplingReturnResponderErrors on server config virtual host -Disponible si on utilise OpenSSL version 0.9.8h ou supérieure +Disponible si on utilise OpenSSL version 0.9.8h ou supérieure -

    Lorsque cette directive est activée, mod_ssl va transmettre au client les -réponses concernant les requêtes OCSP -échouées (comme les réponses avec un statut général autre que -"successful", les réponses avec un statut de certificat autre que -"good", les réponses arrivées à expiration, etc...). -Lorsqu'elle est à off, seules les réponses avec un -statut de certificat égal à "good" seront incluses dans la négociation +

    Lorsque cette directive est activée, mod_ssl va transmettre au client les +réponses concernant les requêtes OCSP +échouées (comme les réponses avec un statut général autre que +"successful", les réponses avec un statut de certificat autre que +"good", les réponses arrivées à expiration, etc...). +Lorsqu'elle est à off, seules les réponses avec un +statut de certificat égal à "good" seront incluses dans la négociation TLS.

         SSLStaplingFakeTryLater -Génère une réponse "tryLater" pour les requêtes OCSP échouées +Génère une réponse "tryLater" pour les requêtes OCSP échouées SSLStaplingFakeTryLater on|off SSLStaplingFakeTryLater on server config virtual host -Disponible si on utilise OpenSSL version 0.9.8h ou supérieure +Disponible si on utilise OpenSSL version 0.9.8h ou supérieure -

    Lorsque cette directive est activée, et si une requête vers un -serveur OCSP à des fins d'inclusion dans une négociation TLS échoue, -mod_ssl va générer une réponse "tryLater" pour le client (SSLStaplingReturnResponderErrors doit être -activée).

    +

    Lorsque cette directive est activée, et si une requête vers un +serveur OCSP à des fins d'inclusion dans une négociation TLS échoue, +mod_ssl va générer une réponse "tryLater" pour le client (SSLStaplingReturnResponderErrors doit être +activée).

         SSLStaplingErrorCacheTimeout -Durée de vie des réponses invalides dans le cache pour +Durée de vie des réponses invalides dans le cache pour agrafage OCSP SSLStaplingErrorCacheTimeout secondes SSLStaplingErrorCacheTimeout 600 server config virtual host -Disponible si on utilise OpenSSL version 0.9.8h ou supérieure +Disponible si on utilise OpenSSL version 0.9.8h ou supérieure -

    Cette directive permet de définir la durée de vie des réponses -invalides dans le cache pour agrafage OCSP configuré via la +

    Cette directive permet de définir la durée de vie des réponses +invalides dans le cache pour agrafage OCSP configuré via la directive SSLStaplingCache. Pour -définir la durée de vie des réponses valides, voir la directive +définir la durée de vie des réponses valides, voir la directive SSLStaplingStandardCacheTimeout.

         SSLStaplingForceURL -Remplace l'URI du serveur OCSP spécifié dans l'extension +Remplace l'URI du serveur OCSP spécifié dans l'extension AIA du certificat SSLStaplingForceURL uri server config virtual host -Disponible si on utilise OpenSSL version 0.9.8h ou supérieure +Disponible si on utilise OpenSSL version 0.9.8h ou supérieure

    Cette directive permet de remplacer l'URI du serveur OCSP extraite de -l'extension authorityInfoAccess (AIA) du certificat. Elle peut s'avérer +l'extension authorityInfoAccess (AIA) du certificat. Elle peut s'avérer utile lorsqu'on passe par un mandataire

         SSLSessionTicketKeyFile -Clé de chiffrement/déchiffrement permanente pour les +Clé de chiffrement/déchiffrement permanente pour les tickets de session TLS SSLSessionTicketKeyFile chemin-fichier server config virtual host Disponible depuis la version 2.4.0 du serveur HTTP -Apache, sous réserve que l'on utilise une version 0.9.8h ou supérieure +Apache, sous réserve que l'on utilise une version 0.9.8h ou supérieure d'OpenSSL -

    Cette directive permet de définir une clé secrète pour le chiffrement -et le déchiffrement des tickets de session TLS selon les préconisations +

    Cette directive permet de définir une clé secrète pour le chiffrement +et le déchiffrement des tickets de session TLS selon les préconisations de la RFC 5077. Elle a -été conçue à l'origine pour les environnements de clusters où les -données des sessions TLS doivent être partagées entre plusieurs noeuds. +été conçue à l'origine pour les environnements de clusters où les +données des sessions TLS doivent être partagées entre plusieurs noeuds. Pour les configurations ne comportant qu'une seule instance de httpd, il -est préférable d'utiliser les clés (aléatoires) générées par mod_ssl au -démarrage du serveur.

    -

    Le fichier doit contenir 48 octets de données aléatoires créées de -préférence par une source à haute entropie. Sur un système de type UNIX, -il est possible de créer le fichier contenant la clé de la manière +est préférable d'utiliser les clés (aléatoires) générées par mod_ssl au +démarrage du serveur.

    +

    Le fichier doit contenir 48 octets de données aléatoires créées de +préférence par une source à haute entropie. Sur un système de type UNIX, +il est possible de créer le fichier contenant la clé de la manière suivante :

    dd if=/dev/random of=/chemin/vers/fichier.tkey bs=1 count=48 -

    Ces clés doivent être renouvelées fréquemment, car il s'agit du seul +

    Ces clés doivent être renouvelées fréquemment, car il s'agit du seul moyen d'invalider un ticket de session existant - OpenSSL ne permet pas -actuellement de spécifier une limite à la durée de -vie des tickets. Une nouvelle clé ne peut être utilisée qu'après avoir -redémarré le serveur. Tous les tickets de session existants deviennent -invalides après le redémarrage du serveur.

    +actuellement de spécifier une limite à la durée de +vie des tickets. Une nouvelle clé ne peut être utilisée qu'après avoir +redémarré le serveur. Tous les tickets de session existants deviennent +invalides après le redémarrage du serveur.

    -

    Ce fichier contient des données sensibles et doit donc être protégé -par des permissions similaires à celles du fichier spécifié par la +

    Ce fichier contient des données sensibles et doit donc être protégé +par des permissions similaires à celles du fichier spécifié par la directive SSLCertificateKeyFile.

         @@ -2949,63 +2963,63 @@ directive SSLCertificateKeyFile.

    SSLCompression off server config virtual host -Disponible à partir de la version 2.4.3 du serveur HTTP -Apache, si on utilise une version d'OpenSSL 0.9.8 ou supérieure ; +Disponible à partir de la version 2.4.3 du serveur HTTP +Apache, si on utilise une version d'OpenSSL 0.9.8 ou supérieure ; l'utilisation dans un contexte de serveur virtuel n'est disponible que -si on utilise une version d'OpenSSL 1.0.0 ou supérieure. La valeur par -défaut était on dans la version 2.4.3. +si on utilise une version d'OpenSSL 1.0.0 ou supérieure. La valeur par +défaut était on dans la version 2.4.3.

    Cette directive permet d'activer la compression au niveau SSL.

    -

    L'activation de la compression est à l'origine de problèmes de -sécurité dans la plupart des configurations (l'attaque nommée CRIME).

    +

    L'activation de la compression est à l'origine de problèmes de +sécurité dans la plupart des configurations (l'attaque nommée CRIME).

         SSLSessionTickets -Active ou désactive les tickets de session TLS +Active ou désactive les tickets de session TLS SSLSessionTickets on|off SSLSessionTickets on server config virtual host -Disponible à partir de la version 2.4.11 du serveur HTTP -Apache, sous réserve d'utiliser OpenSSL version 0.9.8f ou supérieure. +Disponible à partir de la version 2.4.11 du serveur HTTP +Apache, sous réserve d'utiliser OpenSSL version 0.9.8f ou supérieure. -

    Cette directive permet d'activer ou de désactiver l'utilisation des +

    Cette directive permet d'activer ou de désactiver l'utilisation des tickets de session TLS (RFC 5077).

    -

    Les tickets de session TLS sont activés par défaut. Les utiliser sans -redémarrer le serveur selon une périodicité appropriée (par exemple -quotidiennement) compromet cependant le niveau de confidentialité.

    +

    Les tickets de session TLS sont activés par défaut. Les utiliser sans +redémarrer le serveur selon une périodicité appropriée (par exemple +quotidiennement) compromet cependant le niveau de confidentialité.

         SSLOpenSSLConfCmd -Configuration des paramètres d'OpenSSL via son API SSL_CONF +Configuration des paramètres d'OpenSSL via son API SSL_CONF SSLOpenSSLConfCmd commande valeur server config virtual host Disponible depuis la version 2.4.8 du serveur HTTP -Apache avec OpenSSL 1.0.2 ou supérieur +Apache avec OpenSSL 1.0.2 ou supérieur -

    Cette directive permet à mod_ssl d'accéder à l'API SSL_CONF -d'OpenSSL. Il n'est ainsi plus nécessaire d'implémenter des -directives supplémentaires pour mod_ssl lorsque de nouvelles -fonctionnalités sont ajoutées à OpenSSL, ce qui rend la configuration de +

    Cette directive permet à mod_ssl d'accéder à l'API SSL_CONF +d'OpenSSL. Il n'est ainsi plus nécessaire d'implémenter des +directives supplémentaires pour mod_ssl lorsque de nouvelles +fonctionnalités sont ajoutées à OpenSSL, ce qui rend la configuration de ce dernier beaucoup plus souple.

    Le jeu de commandes disponibles pour la directive -SSLOpenSSLConfCmd dépend de la version d'OpenSSL -utilisée pour mod_ssl (la version minimale 1.0.2 est un -prérequis). Pour obtenir la liste des commandes supportées, voir la +SSLOpenSSLConfCmd dépend de la version d'OpenSSL +utilisée pour mod_ssl (la version minimale 1.0.2 est un +prérequis). Pour obtenir la liste des commandes supportées, voir la section Supported configuration file commands de la page de manuel d'OpenSSL SSL_CONF_cmd(3).

    @@ -3013,7 +3027,7 @@ href="http://www.openssl.org/docs/man1.0.2/ssl/SSL_CONF_cmd.html#SUPPORTED-CONFI

    Certaines commandes peuvent remplacer des directives existantes (comme SSLCipherSuite ou SSLProtocol) ; notez cependant -que la syntaxe et/ou les valeurs possibles peuvent différer.

    +que la syntaxe et/ou les valeurs possibles peuvent différer.

    Examples diff --git a/docs/manual/rewrite/rewritemap.xml.fr b/docs/manual/rewrite/rewritemap.xml.fr index 628f51ba32..13c6fc50de 100644 --- a/docs/manual/rewrite/rewritemap.xml.fr +++ b/docs/manual/rewrite/rewritemap.xml.fr @@ -1,7 +1,7 @@ - + + @@ -27,80 +27,80 @@ Plan du site -

    Cette page contient la liste des éléments actuellement disponibles de +

    Cette page contient la liste des éléments actuellement disponibles de la Documentation du serveur HTTP Apache Version &httpd.major;.&httpd.minor;.

     Notes de version -Mise à jour vers 2.4 depuis 2.2 -Nouvelles fonctionnalités d'Apache 2.3/2.4 -Nouvelles fonctionnalités d'Apache 2.1/2.2 -Nouvelles fonctionnalités d'Apache 2.0 +Mise à jour vers 2.4 depuis 2.2 +Nouvelles fonctionnalités d'Apache 2.3/2.4 +Nouvelles fonctionnalités d'Apache 2.1/2.2 +Nouvelles fonctionnalités d'Apache 2.0 License Apache Utilisation du serveur HTTP Apache Compilation et installation -Démarrage -Arrêt ou redémarrage +Démarrage +Arrêt ou redémarrage Fichiers de configuration Comment fonctionnent les sections Directory, Location et Files Mise en cache du contenu Configuration niveau serveur Fichiers de traces -Mise en correspondance des URLs avec le système de fichiers -Objets Dynamiques Partagés (DSO) -Négociation sur le contenu -Messages d'erreur personnalisés -Définition des adresses et ports qu'utilise +Mise en correspondance des URLs avec le système de fichiers +Objets Dynamiques Partagés (DSO) +Négociation sur le contenu +Messages d'erreur personnalisés +Définition des adresses et ports qu'utilise Apache Modules multi-processus (MPMs) Les variables d'environnement d'Apache -L'interprétation des expressions dans Apache +L'interprétation des expressions dans Apache Utilisation des gestionnaires d'Apache Filtres -Support du cache des objets partagés +Support du cache des objets partagés Support de suEXEC -Considérations à propos de DNS et Apache +Considérations à propos de DNS et Apache Foire aux Questions Documentation des serveurs virtuels Apache -Aperçu -Serveurs virtuels basés sur le nom -Support des serveurs virtuels basés +Aperçu +Serveurs virtuels basés sur le nom +Support des serveurs virtuels basés sur l'adresse IP -Configuration dynamique de l'hébergement +Configuration dynamique de l'hébergement virtuel de masse Exemples de serveurs virtuels -Discussion approfondie à propos de la -sélection d'un serveur virtuel -Limitations inhérentes aux +Discussion approfondie à propos de la +sélection d'un serveur virtuel +Limitations inhérentes aux descripteurs de fichiers -Guide de réécriture d'URLs +Guide de réécriture d'URLs Survol -Documentation de référence de mod_rewrite -Introduction à l'utilisation des expressions +Documentation de référence de mod_rewrite +Introduction à l'utilisation des expressions rationnelles avec mod_rewrite Utilisation de mod_rewrite pour les redirections et la traduction des URLs -Utilisation de mod_rewrite pour le contrôle d'accès +Utilisation de mod_rewrite pour le contrôle d'accès Les serveurs virtuels dynamique avec mod_rewrite Le mandat dynamique avec mod_rewrite Utilisation d'une table de -réécriture -Techniques avancées +réécriture +Techniques avancées Quand ne pas utiliser mod_rewrite -Drapeaux de réécriture -Détails techniques +Drapeaux de réécriture +Détails techniques @@ -108,36 +108,38 @@ réécriture Chiffrement SSL/TLS avec Apache -Aperçu +Aperçu Chiffrement SSL/TLS : Introduction Chiffrement SSL/TLS : -Compatibilité +Compatibilité Chiffrement SSL/TLS : Recettes Chiffrement SSL/TLS : FAQ Guides, Tutoriels, and Recettes -Aperçu +Aperçu Authentification et autorisation -Contrôle d'accès +Contrôle d'accès Contenu dynamique avec CGI -Introduction aux Inclusions côté serveur +Introduction aux Inclusions côté serveur (Server Side Includes - SSI) Fichiers .htaccess -Répertoires web des +Répertoires web des utilisateurs +Guide de configuration des mandataires +inverses -Notes spécifiques à certains systèmes -Aperçu +Notes spécifiques à certains systèmes +Aperçu Utiliser Apache avec Microsoft Windows Compiler Apache pour Microsoft Windows -Utilisation d'Apache avec les systèmes à +Utilisation d'Apache avec les systèmes à base de paquets RPM Utiliser Apache avec Novell NetWare @@ -147,8 +149,8 @@ hautes performances sous HPUX -Le serveur HTTP Apache et ses programmes associés -Aperçu +Le serveur HTTP Apache et ses programmes associés +Aperçu Page de manuel : httpd Page de manuel : ab Page de manuel : apachectl @@ -171,41 +173,41 @@ hautes performances sous HPUX Documentations diverses sur Apache -Aperçu -Considérations à propos des +Aperçu +Considérations à propos des performances - Configuration fine d'Apache -Conseils en matière de sécurité -Standards concernés +Conseils en matière de sécurité +Standards concernés Formats de chiffrement des mots de passe Modules Apache -Définitions des termes utilisés pour -décrire les modules Apache -Définitions des termes utilisés -pour décrire les directives Apache +Définitions des termes utilisés pour +décrire les modules Apache +Définitions des termes utilisés +pour décrire les directives Apache -Documentation du développeur -Aperçu +Documentation du développeur +Aperçu Notes sur l'API Apache -Mises à jour de l'API dans Apache HTTPD 2.4 -Développement de modules pour Apache HTTPD 2.4 +Mises à jour de l'API dans Apache HTTPD 2.4 +Développement de modules pour Apache HTTPD 2.4 Documentation d'Apache HTTPD Fonctions d'accroche (Hook Functions) d'Apache 2.x Convertir un module depuis la version 1.3 vers la version 2.x -Traitement des requêtes avec +Traitement des requêtes avec la version 2.x Fonctionnement des filtres dans la version 2.x Guide des filtres en sortie dans la version 2.x -Sécurité des +Sécurité des threads dans la version 2.x @@ -214,7 +216,7 @@ threads dans la version 2.x Glossaire Index des modules Index des directives -Référence rapide des directives +Référence rapide des directives -- 2.40.0