From e97995c4c764547400c71cc760ead89af25dcd75 Mon Sep 17 00:00:00 2001
From: Lucien Gentis La section La condition de la section La section La condition correspondant à la section
+ ...
+ </If>
+ <Else>
+ ...
+ </Else>
+
+ ...
+ </If>
+ <ElseIf "-R '10.0.0.0/8'">
+ ...
+ </ElseIf>
+ <Else>
+ ...
+ </Else>
+
sera satisfaite dans le cas des requêtes HTTP/1.0 sans en-tête - Host:.
- -Vous pouvez tester la valeur de tout en-tête de requête ($req), - de tout en-tête de réponse ($resp) ou de toute variable - d'environnement ($env) dans votre expression.
- -En plus de =
, If
peut utiliser
- l'opérateur IN
pour déterminer si la valeur de
- l'expression fait partie d'une liste donnée :
serait satisfaite pour les requêtes HTTP/1.0 sans en-tête
+ Host:. Les expressions peuvent contenir différents
+ opérateurs de type shell pour la comparaison de chaînes
+ (=
, !=
, <
, ...), la
+ comparaison d'entiers (-eq
, -ne
, ...), ou
+ à usages divers (-n
, -z
, -f
,
+ ...). Les expressions rationnelles sont aussi supportées,
ainsi que les comparaison de modèles de type shell et de
+ nombreuses autres opérations. Ces opérations peuvent être effectuées
+ sur les en-têtes de requêtes (req
), les variables
+ d'environnement (env
), et un grand nombre d'autres
+ propriétés. La documentation complète est disponible dans Les expressions dans le serveur HTTP Apache.
TRACE
Les trois premières lignes définissent la variable diff --git a/docs/manual/new_features_2_4.xml.fr b/docs/manual/new_features_2_4.xml.fr index be93ffd127..19439b46df 100644 --- a/docs/manual/new_features_2_4.xml.fr +++ b/docs/manual/new_features_2_4.xml.fr @@ -3,7 +3,7 @@ - + + @@ -218,7 +218,7 @@ trois types :
Ceci peut faire correspondre une requête à toute localisation voulue de
votre système de fichiers, un peu comme la directive Notez que le point d'exclamation indique une correspondance négative
; ainsi, la règle n'est appliquée que si le cookie ne contient pas "go" Le sage n'apporte pas de bonnes réponses, il pose les bonnes questions Le sage n'apporte pas de bonnes réponses, il pose les bonnes questions -- Claude Levi-Strauss Des erreurs telles que `` Pour fonctionner correctement, les logiciels de cryptographie ont
- besoin d'une source de données aléatoires. De nombreux systèmes
- d'exploitation libres proposent un "périphérique source d'entropie"
- qui fournit ce service (il se nomme en général
- Pour éviter cette erreur, Pour éviter cette erreur, Oui. HTTP et HTTPS utilisent des ports différents (HTTP écoute le port
+ Oui. HTTP et HTTPS utilisent des ports différents (HTTP écoute le port
80 et HTTPS le port 443), si bien qu'il n'y a pas de conflit direct entre
- les deux. Vous pouvez soit exécuter deux instances séparées du serveur,
- chacune d'entre elles écoutant l'un de ces ports, soit utiliser l'élégante
- fonctionnalité d'Apache que constituent les hôtes virtuels pour créer
- deux serveurs virtuels gérés par la même instance d'Apache - le
- premier serveur répondant en HTTP aux requêtes sur le port 80,
- le second répondant en HTTPS aux requêtes sur le port
+ les deux. Vous pouvez soit exécuter deux instances séparées du serveur,
+ chacune d'entre elles écoutant l'un de ces ports, soit utiliser l'élégante
+ fonctionnalité d'Apache que constituent les hôtes virtuels pour créer
+ deux serveurs virtuels gérés par la même instance d'Apache - le
+ premier serveur répondant en HTTP aux requêtes sur le port 80,
+ le second répondant en HTTPS aux requêtes sur le port
443. Vous pouvez associer le protocole HTTPS Ã n'importe quel port, mais le port
+ Vous pouvez associer le protocole HTTPS à n'importe quel port, mais le port
standard est le port 443, que tout navigateur compatible HTTPS va utiliser par
-défaut. Vous pouvez forcer votre navigateur à utiliser un port différent en le
-précisant dans l'URL. Par exemple, si votre serveur est configuré pour
-servir des pages en HTTPS sur le port 8080, vous pourrez y accéder par
+défaut. Vous pouvez forcer votre navigateur à utiliser un port différent en le
+précisant dans l'URL. Par exemple, si votre serveur est configuré pour
+servir des pages en HTTPS sur le port 8080, vous pourrez y accéder par
l'adresse Alors que vous utilisez simplement pour tester facilement Apache via HTTP, les choses ne sont pas si
- simples pour HTTPS à cause du protocole SSL situé entre TCP et HTTP.
+ simples pour HTTPS à cause du protocole SSL situé entre TCP et HTTP.
La commande OpenSSL Avant la véritable réponse HTTP, vous recevrez des informations
- détaillées à propos de l'établissement de la connexion SSL. Si vous
- recherchez un client en ligne de commande à usage plus général qui comprend
- directement HTTP et HTTPS, qui peut effectuer des opérations GET et POST,
- peut utiliser un mandataire, supporte les requêtes portant sur une partie
+ Avant la véritable réponse HTTP, vous recevrez des informations
+ détaillées à propos de l'établissement de la connexion SSL. Si vous
+ recherchez un client en ligne de commande à usage plus général qui comprend
+ directement HTTP et HTTPS, qui peut effectuer des opérations GET et POST,
+ peut utiliser un mandataire, supporte les requêtes portant sur une partie
d'un fichier (byte-range), etc..., vous devriez vous tourner vers
- l'excellent outil cURL. Grâce à lui,
- vous pouvez vérifier si Apache répond correctement aux requêtes via
+ l'excellent outil cURL. Grâce à lui,
+ vous pouvez vérifier si Apache répond correctement aux requêtes via
HTTP et HTTPS comme suit : Ceci peut arriver si vous vous connectez à un serveur HTTPS (ou Ã
+me connecte à mon serveur Apache configuré pour SSL ?
+ Ceci peut arriver si vous vous connectez à un serveur HTTPS (ou à
un serveur virtuel) via HTTP (par exemple, en utilisant
Une configuration incorrecte peut provoquer ce type d'erreur.
Assurez-vous que vos directives
RewriteCond %{HTTP_COOKIE} !go
-RewriteRule .* - [F]
+RewriteRule . - [F]
-
@@ -37,44 +37,44 @@
-
-mod_ssl: Child could not open
SSLMutex lockfile /opt/apache/logs/ssl_mutex.18332 (avec l'erreur
- système qui suit) [...] System: Permission denied (errno: 13)
''
- sont souvent provoquées par des permissions trop restrictives sur les
- répertoires parents. Assurez-vous que tous les répertoires
+ système qui suit) [...] System: Permission denied (errno: 13)''
+ sont souvent provoquées par des permissions trop restrictives sur les
+ répertoires parents. Assurez-vous que tous les répertoires
parents (ici /opt
, /opt/apache
et
- /opt/apache/logs
) ont le bit x positionné au moins pour
- l'UID sous lequel les processus enfants d'Apache s'exécutent (voir la
+ /opt/apache/logs
) ont le bit x positionné au moins pour
+ l'UID sous lequel les processus enfants d'Apache s'exécutent (voir la
directive /dev/random
). Sur d'autres systèmes, les applications
+ besoin d'une source de données aléatoires. De nombreux systèmes
+ d'exploitation libres proposent un "périphérique source d'entropie"
+ qui fournit ce service (il se nomme en général
+ /dev/random
). Sur d'autres systèmes, les applications
doivent amorcer manuellement
- le Générateur de Nombres Pseudo-Aléatoires d'OpenSSL
- (Pseudo Random Number Generator -PRNG) à l'aide de données appropriées
- avant de générer des clés ou d'effectuer un chiffrement à clé
- publique. Depuis la version 0.9.5, les fonctions d'OpenSSL qui nécessitent
- des données aléatoires provoquent une erreur si le PRNG n'a pas été amorcé
- avec une source de données aléatoires d'au moins 128 bits.
-
-SSL_XXX
ne sont-elles pas disponibles dans mes scripts CGI et SSI ?https://example.com:8080/
.s_client
vous permet cependant
d'effectuer un test similaire via HTTPS :
GET / HTTP/1.0
@@ -150,48 +150,48 @@ de test ?http://example.com/
au lieu de https://example.com
).
-Cela peut aussi arriver en essayant de vous connecter via HTTPS Ã un
+Cela peut aussi arriver en essayant de vous connecter via HTTPS à un
serveur HTTP (par exemple, en utilisant https://example.com/
avec un serveur qui ne supporte pas HTTPS, ou le supporte, mais sur un
-port non standard). Assurez-vous que vous vous connectez bien à un
+port non standard). Assurez-vous que vous vous connectez bien à un
serveur (virtuel) qui supporte SSL.
SSL_XXX
ne sont-elles pas disponibles dans mes scripts CGI et SSI ?Assurez-vous que la directive ``SSLOptions +StdEnvVars
'' est
-bien présente dans le contexte de vos requêtes CGI/SSI.
Normalement, pour basculer entre HTTP et HTTPS, vous devez utiliser des
-hyperliens pleinement qualifiés (car vous devez modifier le schéma de l'URL).
-Cependant, Ã l'aide du module
Ce jeu de règles rewrite vous permet d'utiliser des hyperliens de la +
Ce jeu de règles rewrite vous permet d'utiliser des hyperliens de la
forme <a href="document.html_SSL">
pour passer en HTTPS
dans les liens relatifs. (Remplacez SSL par NOSSL pour passer en HTTP.)
Un fichier de clé privée RSA est un fichier numérique que vous pouvez -utiliser pour déchiffrer des messages que l'on vous a envoyés. Il a son -pendant à caractère public que vous pouvez distribuer (par le biais de votre +
Un fichier de clé privée RSA est un fichier numérique que vous pouvez +utiliser pour déchiffrer des messages que l'on vous a envoyés. Il a son +pendant à caractère public que vous pouvez distribuer (par le biais de votre certificat), ce qui permet aux utilisateurs de chiffrer les messages qu'ils vous envoient.
-Une Demande de Signature de Certificat (CSR) est un fichier numérique - qui contient votre clé publique et votre nom. La CSR doit être envoyée à - une Autorité de Certification (CA), qui va la convertir en vrai certificat +
Une Demande de Signature de Certificat (CSR) est un fichier numérique + qui contient votre clé publique et votre nom. La CSR doit être envoyée à + une Autorité de Certification (CA), qui va la convertir en vrai certificat en la signant.
-Un certificat contient votre clé publique RSA, votre nom, le nom - de la CA, et est signé numériquement par cette dernière. Les navigateurs - qui reconnaissent la CA peuvent vérifier la signature du certificat, et - ainsi en extraire votre clé publique RSA. Ceci leur permet de vous envoyer - des messages chiffrés que vous seul pourrez déchiffrer.
-Se référer au chapitre Introduction - pour une description générale du protocole SSL.
+Un certificat contient votre clé publique RSA, votre nom, le nom + de la CA, et est signé numériquement par cette dernière. Les navigateurs + qui reconnaissent la CA peuvent vérifier la signature du certificat, et + ainsi en extraire votre clé publique RSA. Ceci leur permet de vous envoyer + des messages chiffrés que vous seul pourrez déchiffrer.
+Se référer au chapitre Introduction + pour une description générale du protocole SSL.
Oui. En général, avec ou sans
Oui. En général, avec ou sans
Devoir entrer manuellement le mot de passe au démarrage du serveur peut - poser quelques problèmes - par exemple, quand le serveur est démarré au - moyen de scripts au lancement du système. Dans ce cas, vous pouvez suivre - les étapes ci-dessous pour supprimer le - mot de passe de votre clé privée. Gardez à l'esprit qu'agir ainsi augmente - les risques de sécurité - agissez avec précaution !
+Devoir entrer manuellement le mot de passe au démarrage du serveur peut + poser quelques problèmes - par exemple, quand le serveur est démarré au + moyen de scripts au lancement du système. Dans ce cas, vous pouvez suivre + les étapes ci-dessous pour supprimer le + mot de passe de votre clé privée. Gardez à l'esprit qu'agir ainsi augmente + les risques de sécurité - agissez avec précaution !
PATH
.server.key
et server.crt
:$ openssl req -new -x509 -nodes -out server.crt
-keyout server.key
httpd.conf
:
SSLCertificateFile /chemin/vers/server.crt @@ -277,127 +277,127 @@ fins de test ?
server.key
n'a
- pas de mot de passe. Pour ajouter un mot de passe à la clé, vous
- devez exécuter la commande suivante et confirmer le mot de passe comme
- demandé.$ openssl rsa -des3 -in server.key -out
server.key.new
$ mv server.key.new server.key
server.key
ainsi que son mot de
- passe en lieu sûr.
+ passe en lieu sûr.
Voici la marche à suivre pas à pas :
+Voici la marche à suivre pas à pas :
PATH
.
+ PATH
.
$ openssl genrsa -des3 -out server.key 2048
server.key
et le mot de passe
- éventuellement défini en lieu sûr.
- Vous pouvez afficher les détails de cette clé privée RSA à l'aide de la
+ éventuellement défini en lieu sûr.
+ Vous pouvez afficher les détails de cette clé privée RSA à l'aide de la
commande :$ openssl rsa -noout -text -in server.key
$ openssl rsa -in server.key -out server.key.unsecure
$ openssl req -new -key server.key -out server.csr
https://www.foo.dom/
, le FQDN sera "www.foo.dom". Vous
- pouvez afficher les détails de ce CSR avec :$ openssl req -noout -text -in server.csr
$ openssl x509 -noout -text -in server.crt
server.key
et server.crt
. Ils sont précisés dans
+ server.key
et server.crt
. Ils sont précisés dans
votre fichier httpd.conf
comme suit :
SSLCertificateFile /chemin/vers/server.crt SSLCertificateKeyFile /chemin vers/server.key- Le fichier
server.csr
n'est plus nécessaire.
+ Le fichier server.csr
n'est plus nécessaire.
La solution la plus simple consiste à utiliser les scripts +
La solution la plus simple consiste à utiliser les scripts
CA.sh
ou CA.pl
fournis avec OpenSSL. De
- préférence, utilisez cette solution, à moins que vous ayez de bonnes
- raisons de ne pas le faire. Dans ce dernier cas, vous pouvez créer un
- certificat auto-signé comme suit :
$ openssl genrsa -des3 -out server.key 2048
host.key
et le mot de passe
- éventuellement défini en lieu sûr.
- Vous pouvez afficher les détails de cette clé privée RSA à l'aide de la
+ éventuellement défini en lieu sûr.
+ Vous pouvez afficher les détails de cette clé privée RSA à l'aide de la
commande :$ openssl rsa -noout -text -in server.key
$ openssl rsa -in server.key -out server.key.unsecure
$ openssl req -new -x509 -nodes -sha1 -days 365
-key server.key -out server.crt
server.crt
. Vous pouvez afficher les détails de ce
+ server.crt
. Vous pouvez afficher les détails de ce
certificat avec :$ openssl x509 -noout -text -in server.crt
Vous devez simplement lire la clé avec l'ancien mot de passe et la -réécrire en spécifiant le nouveau mot de passe. Pour cela, vous pouvez +de ma clé privée ?
Vous devez simplement lire la clé avec l'ancien mot de passe et la +réécrire en spécifiant le nouveau mot de passe. Pour cela, vous pouvez utiliser les commandes suivantes :
$ openssl rsa -des3 -in server.key -out server.key.new
$ mv server.key.new server.key
La première fois qu'il vous est demandé un mot de passe PEM, vous +
La première fois qu'il vous est demandé un mot de passe PEM, vous devez entrer l'ancien mot de passe. Ensuite, on vous demandera d'entrer encore un mot de passe - cette fois, entrez le nouveau mot de passe. Si on - vous demande de vérifier le mot de passe, vous devrez entrer le nouveau + vous demande de vérifier le mot de passe, vous devrez entrer le nouveau mot de passe une seconde fois.
L'apparition de ce dialogue au démarrage et à chaque redémarrage provient -du fait que la clé privée RSA contenue dans votre fichier server.key est -enregistrée sous forme chiffrée pour des raisons de sécurité. Le -déchiffrement de ce fichier nécessite un mot de passe, afin de pouvoir être -lu et interprété. Cependant, La suppression du mot de passe diminue le niveau de -sécurité du serveur - agissez avec précautions !
+L'apparition de ce dialogue au démarrage et à chaque redémarrage provient +du fait que la clé privée RSA contenue dans votre fichier server.key est +enregistrée sous forme chiffrée pour des raisons de sécurité. Le +déchiffrement de ce fichier nécessite un mot de passe, afin de pouvoir être +lu et interprété. Cependant, La suppression du mot de passe diminue le niveau de +sécurité du serveur - agissez avec précautions !
$ cp server.key server.key.org
Maintenant, server.key
contient une copie non chiffrée de
- la clé. Si vous utilisez ce fichier pour votre serveur, il ne vous
- demandera plus de mot de passe. CEPENDANT, si quelqu'un arrive à obtenir
- cette clé, il sera en mesure d'usurper votre identité sur le réseau.
- Vous DEVEZ par conséquent vous assurer que seuls root ou le serveur web
- peuvent lire ce fichier (de préférence, démarrez le serveur web sous
- root et faites le s'exécuter sous un autre utilisateur, en n'autorisant
- la lecture de la clé que par root).
Maintenant, server.key
contient une copie non chiffrée de
+ la clé. Si vous utilisez ce fichier pour votre serveur, il ne vous
+ demandera plus de mot de passe. CEPENDANT, si quelqu'un arrive à obtenir
+ cette clé, il sera en mesure d'usurper votre identité sur le réseau.
+ Vous DEVEZ par conséquent vous assurer que seuls root ou le serveur web
+ peuvent lire ce fichier (de préférence, démarrez le serveur web sous
+ root et faites le s'exécuter sous un autre utilisateur, en n'autorisant
+ la lecture de la clé que par root).
Une autre alternative consiste à utiliser la directive +
Une autre alternative consiste à utiliser la directive
``SSLPassPhraseDialog exec:/chemin/vers/programme
''. Gardez
- cependant à l'esprit que ce n'est bien entendu ni plus ni moins
- sécurisé.
Une clé privée contient une série de nombres. Deux de ces nombres forment la -"clé publique", les autres appartiennent à la "clé privée". Les bits de la -"clé publique" sont inclus quand vous générez une CSR, et font par -conséquent partie du certificat associé.
-Pour vérifier que la clé publique contenue dans votre certificat - correspond bien à la partie publique de votre clé privée, il vous suffit - de comparer ces nombres. Pour afficher le certificat et la clé, + cependant à l'esprit que ce n'est bien entendu ni plus ni moins + sécurisé.
+Une clé privée contient une série de nombres. Deux de ces nombres forment la +"clé publique", les autres appartiennent à la "clé privée". Les bits de la +"clé publique" sont inclus quand vous générez une CSR, et font par +conséquent partie du certificat associé.
+Pour vérifier que la clé publique contenue dans votre certificat + correspond bien à la partie publique de votre clé privée, il vous suffit + de comparer ces nombres. Pour afficher le certificat et la clé, utilisez cette commande :
$ openssl x509 -noout -text -in server.crt
$ openssl rsa -noout -text -in server.key
Les parties `modulus' et `public exponent' doivent être identiques dans - la clé et le certificat. Comme le `public exponent' est habituellement - 65537, et comme il est difficile de vérifier visuellement que les nombreux +
Les parties `modulus' et `public exponent' doivent être identiques dans + la clé et le certificat. Comme le `public exponent' est habituellement + 65537, et comme il est difficile de vérifier visuellement que les nombreux nombres du `modulus' sont identiques, vous pouvez utiliser l'approche suivante :
$ openssl x509 -noout -modulus -in server.crt | openssl md5
$ openssl rsa -noout -modulus -in server.key | openssl md5
Il ne vous reste ainsi que deux nombres relativement courts à comparer. - Il est possible, en théorie que ces deux nombres soient les mêmes, sans que +
Il ne vous reste ainsi que deux nombres relativement courts à comparer. + Il est possible, en théorie que ces deux nombres soient les mêmes, sans que les nombres du modulus soient identiques, mais les chances en sont infimes.
-Si vous souhaitez vérifier à quelle clé ou certificat appartient une CSR - particulière, vous pouvez effectuer le même calcul +
Si vous souhaitez vérifier à quelle clé ou certificat appartient une CSR + particulière, vous pouvez effectuer le même calcul sur la CSR comme suit :
$ openssl req -noout -modulus -in server.csr | openssl md5
Le format des certificats par défaut pour OpenSSL est le format PEM, -qui est tout simplement un format DER codé en Base64, avec des lignes -d'en-têtes et des annotations. Certaines applications, comme +
Le format des certificats par défaut pour OpenSSL est le format PEM,
+qui est tout simplement un format DER codé en Base64, avec des lignes
+d'en-têtes et des annotations. Certaines applications, comme
Microsoft Internet Explorer, ont besoin d'un certificat au format DER de base.
-Vous pouvez convertir un fichier PEM cert.pem
en son équivalent
-au format DER cert.der
à l'aide de la commande suivante :
+Vous pouvez convertir un fichier PEM cert.pem
en son équivalent
+au format DER cert.der
à l'aide de la commande suivante :
$ openssl x509 -in cert.pem -out cert.der
-outform DER
Verisign utilise un certificat de CA intermédiaire entre le certificat -de CA racine (installé dans les navigateurs) et le certificat du serveur (que -vous avez installé sur le serveur). Verisign a dû vous envoyer ce certificat -de CA additionnel. Dans la négative, réclamez-le. Ensuite, installez ce -certificat à l'aide de la directive +vérifier mon certificat de serveur Verisign Global ID ?
Verisign utilise un certificat de CA intermédiaire entre le certificat
+de CA racine (installé dans les navigateurs) et le certificat du serveur (que
+vous avez installé sur le serveur). Verisign a dû vous envoyer ce certificat
+de CA additionnel. Dans la négative, réclamez-le. Ensuite, installez ce
+certificat à l'aide de la directive
Ce problème peut avoir plusieurs causes, mais la principale réside dans le -cache de session SSL défini par la directive +
Ce problème peut avoir plusieurs causes, mais la principale réside dans le
+cache de session SSL défini par la directive
SSL utilise un procédé de chiffrement fort qui nécessite la manipulation -d'une quantité très importante de nombres. Lorsque vous effectuez une requête -pour une page web via HTTPS, tout (même les images) est chiffré avant d'être -transmis. C'est pourquoi un accroissement du traffic HTTPS entraîne une +importante depuis qu'il sert des ressources chiffrées en SSL ?
SSL utilise un procédé de chiffrement fort qui nécessite la manipulation +d'une quantité très importante de nombres. Lorsque vous effectuez une requête +pour une page web via HTTPS, tout (même les images) est chiffré avant d'être +transmis. C'est pourquoi un accroissement du traffic HTTPS entraîne une augmentation de la charge.
Ce problème provient en général d'un périphérique Ce problème provient en général d'un périphérique En général, tous les algorithmes de chiffrement supportés par la version
-d'OpenSSL installée, le sont aussi par En général, tous les algorithmes de chiffrement supportés par la version
+d'OpenSSL installée, le sont aussi par /dev/random
-qui bloque l'appel système read(2) jusqu'à ce que suffisamment d'entropie
-soit disponible pour servir la requête. Pour plus d'information, se référer au
-manuel de référence de la directive
+/dev/random
+qui bloque l'appel système read(2) jusqu'à ce que suffisamment d'entropie
+soit disponible pour servir la requête. Pour plus d'information, se référer au
+manuel de référence de la directive
Pour déterminer la liste réelle des algorithmes disponibles, vous +
Pour déterminer la liste réelle des algorithmes disponibles, vous pouvez utiliser la commande suivante :
Par défaut et pour des raisons de sécurité, OpenSSl ne permet pas +
Par défaut et pour des raisons de sécurité, OpenSSl ne permet pas l'utilisation des algorithmes de chiffrements ADH. Veuillez vous informer sur les effets pervers potentiels si vous choisissez d'activer le support de ces algorithmes de chiffrements.
Pour pouvoir utiliser les algorithmes de chiffrements Diffie-Hellman
anonymes (ADH), vous devez compiler OpenSSL avec
-``-DSSL_ALLOW_ADH
'', puis ajouter ``ADH
'' Ã votre
+``-DSSL_ALLOW_ADH
'', puis ajouter ``ADH
'' à votre
directive
Soit vous avez fait une erreur en définissant votre directive
extra/httpd-ssl.conf
), soit vous avez
+l'exemple préconfiguré dans extra/httpd-ssl.conf
), soit vous avez
choisi d'utiliser des algorithmes DSA/DH au lieu de RSA lorsque vous avez
-généré votre clé privée, et avez ignoré ou êtes passé outre les
+généré votre clé privée, et avez ignoré ou êtes passé outre les
avertissements. Si vous avez choisi DSA/DH, votre serveur est incapable de
-communiquer en utilisant des algorithmes de chiffrements SSL basés sur RSA
-(du moins tant que vous n'aurez pas configuré une paire clé/certificat RSA
+communiquer en utilisant des algorithmes de chiffrements SSL basés sur RSA
+(du moins tant que vous n'aurez pas configuré une paire clé/certificat RSA
additionnelle). Les navigateurs modernes tels que NS ou IE ne peuvent
communiquer par SSL qu'avec des algorithmes RSA. C'est ce qui provoque l'erreur
-"no shared ciphers". Pour la corriger, générez une nouvelle paire
-clé/certificat pour le serveur en utilisant un algorithme de chiffrement
+"no shared ciphers". Pour la corriger, générez une nouvelle paire
+clé/certificat pour le serveur en utilisant un algorithme de chiffrement
RSA.
La raison est très technique, et s'apparente au problème de la primauté de
+ La raison est très technique, et s'apparente au problème de la primauté de
l'oeuf ou de la poule. La couche du protocole SSL se trouve en dessous de la
-couche de protocole HTTP qu'elle encapsule. Lors de l'établissement d'une
-connexion SSL (HTTPS), Apache/mod_ssl doit négocier les paramètres du
+couche de protocole HTTP qu'elle encapsule. Lors de l'établissement d'une
+connexion SSL (HTTPS), Apache/mod_ssl doit négocier les paramètres du
protocole SSL avec le client. Pour cela, mod_ssl doit consulter la
-configuration du serveur virtuel (par exemple, il doit accéder à la la suite
+configuration du serveur virtuel (par exemple, il doit accéder à la la suite
d'algorithmes de chiffrement, au certificat du serveur, etc...). Mais afin de
-sélectionner le bon serveur virtuel, Apache doit connaître le contenu du champ
-d'en-tête HTTP Host
. Pour cela, il doit lire l'en-tête de la
-requête HTTP. Mais il ne peut le faire tant que la négociation SSL n'est pas
-terminée, or, la phase de négociation SSL a besoin du nom d'hôte contenu
-dans l'en-tête de la requête. Voir la question suivante pour
-contourner ce problème.Host
. Pour cela, il doit lire l'en-tête de la
+requête HTTP. Mais il ne peut le faire tant que la négociation SSL n'est pas
+terminée, or, la phase de négociation SSL a besoin du nom d'hôte contenu
+dans l'en-tête de la requête. Voir la question suivante pour
+contourner ce problème.
L'hébergement virtuel basé sur le nom est une méthode très populaire - d'identification des différents hôtes virtuels. Il permet d'utiliser la - même adresse IP et le même numéro de port pour de nombreux sites - différents. Lorsqu'on se tourne vers SSL, il semble tout naturel de penser - que l'on peut appliquer la même méthode pour gérer plusieurs hôtes - virtuels SSL sur le même serveur.
+l'hébergement virtuel basé sur le nom d'hôte +pour différencier plusieurs hôtes virtuels ? +L'hébergement virtuel basé sur le nom est une méthode très populaire + d'identification des différents hôtes virtuels. Il permet d'utiliser la + même adresse IP et le même numéro de port pour de nombreux sites + différents. Lorsqu'on se tourne vers SSL, il semble tout naturel de penser + que l'on peut appliquer la même méthode pour gérer plusieurs hôtes + virtuels SSL sur le même serveur.
C'est possible, mais seulement si on utilise une version 2.2.12 - ou supérieure du serveur web compilée avec OpenSSL - version 0.9.8j ou supérieure. Ceci est du au fait que - l'utilisation de l'hébergement virtuel à base de nom - avec SSL nécessite une fonctionnalité appelée + ou supérieure du serveur web compilée avec OpenSSL + version 0.9.8j ou supérieure. Ceci est du au fait que + l'utilisation de l'hébergement virtuel à base de nom + avec SSL nécessite une fonctionnalité appelée Indication du Nom de Serveur (Server Name Indication - SNI) que - seules les révisions les plus récentes de la - spécification SSL supportent.
- -La raison en est que le protocole SSL constitue une couche séparée qui - encapsule le protocole HTTP. Aini, la session SSL nécessite une - transaction séparée qui prend place avant que la session HTTP n'ait débuté. - Le serveur reçoit une requête SSL sur l'adresse IP X et le port Y - (habituellement 443). Comme la requête SSL ne contenait aucun - en-tête Host:, le serveur n'avait aucun moyen de déterminer quel hôte virtuel SSL il - devait utiliser. En général, il utilisait le premier + seules les révisions les plus récentes de la + spécification SSL supportent.
+ +La raison en est que le protocole SSL constitue une couche séparée qui + encapsule le protocole HTTP. Aini, la session SSL nécessite une + transaction séparée qui prend place avant que la session HTTP n'ait débuté. + Le serveur reçoit une requête SSL sur l'adresse IP X et le port Y + (habituellement 443). Comme la requête SSL ne contenait aucun + en-tête Host:, le serveur n'avait aucun moyen de déterminer quel hôte virtuel SSL il + devait utiliser. En général, il utilisait le premier qu'il trouvait et qui - correspondait à l'adresse IP et au port spécifiés.
+ correspondait à l'adresse IP et au port spécifiés.Par contre, si vous utilisez des versions du serveur web et d'OpenSSL qui supportent SNI, et si le navigateur du client le - supporte aussi, alors le nom d'hôte sera inclus dans la - requête SSL originale, et le serveur web pourra - sélectionner le bon serveur virtuel SSL.
+ supporte aussi, alors le nom d'hôte sera inclus dans la + requête SSL originale, et le serveur web pourra + sélectionner le bon serveur virtuel SSL. -Bien entendu, vous pouvez utiliser l'hébergement virtuel basé sur le nom - pour identifier de nombreux hôtes virtuels non-SSL - (tous sur le port 80 par exemple), et ne gérer qu'un seul hôte virtuel SSL - (sur le port 443). Mais dans ce cas, vous devez définir le numéro de port - non-SSL à l'aide de la directive NameVirtualHost dans ce style :
+Bien entendu, vous pouvez utiliser l'hébergement virtuel basé sur le nom + pour identifier de nombreux hôtes virtuels non-SSL + (tous sur le port 80 par exemple), et ne gérer qu'un seul hôte virtuel SSL + (sur le port 443). Mais dans ce cas, vous devez définir le numéro de port + non-SSL à l'aide de la directive NameVirtualHost dans ce style :
il existe d'autres solutions alternatives comme :
-Utiliser des adresses IP différentes pour chaque hôte SSL. - Utiliser des numéros de port différents pour chaque hôte SSL.
+Utiliser des adresses IP différentes pour chaque hôte SSL. + Utiliser des numéros de port différents pour chaque hôte SSL.
Bien que la négociation pour la compression SSL ait été définie dans la -spécification de SSLv2 et TLS, ce n'est qu'en mai 2004 que la RFC 3749 a -défini DEFLATE comme une méthode de compression standard négociable. +
Bien que la négociation pour la compression SSL ait été définie dans la +spécification de SSLv2 et TLS, ce n'est qu'en mai 2004 que la RFC 3749 a +défini DEFLATE comme une méthode de compression standard négociable.
-Depuis la version 0.9.8, OpenSSL supporte cette compression par défaut
-lorsqu'il est compilé avec l'option zlib
. Si le client et le
-serveur supportent la compression, elle sera utilisée. Cependant, la
+
Depuis la version 0.9.8, OpenSSL supporte cette compression par défaut
+lorsqu'il est compilé avec l'option zlib
. Si le client et le
+serveur supportent la compression, elle sera utilisée. Cependant, la
plupart des clients essaient encore de se connecter avec un Hello SSLv2.
-Comme SSLv2 ne comportait pas de table des algorithmes de compression préférés
-dans sa négociation, la compression ne peut pas être négociée avec ces clients.
-Si le client désactive le support SSLv2, un Hello SSLv3 ou TLS peut être
-envoyé, selon la bibliothèque SSL utilisée, et la compression peut être mise
-en oeuvre. Vous pouvez vérifier si un client utilise la compression SSL en
+Comme SSLv2 ne comportait pas de table des algorithmes de compression préférés
+dans sa négociation, la compression ne peut pas être négociée avec ces clients.
+Si le client désactive le support SSLv2, un Hello SSLv3 ou TLS peut être
+envoyé, selon la bibliothèque SSL utilisée, et la compression peut être mise
+en oeuvre. Vous pouvez vérifier si un client utilise la compression SSL en
journalisant la variable %{SSL_COMPRESS_METHOD}x
.
Non, le couple utilisateur/mot de passe est transmis sous forme chiffrée. - L'icône de chiffrement dans les navigateurs Netscape n'est pas vraiment - synchronisé avec la couche SSL/TLS. Il ne passe à l'état verrouillé - qu'au moment où la première partie des données relatives à la page web - proprement dite sont transférées, ce qui peut prêter à confusion. Le - dispositif d'authentification de base appartient à la couche HTTP, qui - est située au dessus de la couche SSL/TLS dans HTTPS. Avant tout - transfert de données HTTP sous HTTPS, la couche SSL/TLS a déjà achevé - sa phase de négociation et basculé dans le mode de communication - chiffrée. Ne vous laissez donc pas abuser par l'état de cet icône.
-Non, le couple utilisateur/mot de passe est transmis sous forme chiffrée. + L'icône de chiffrement dans les navigateurs Netscape n'est pas vraiment + synchronisé avec la couche SSL/TLS. Il ne passe à l'état verrouillé + qu'au moment où la première partie des données relatives à la page web + proprement dite sont transférées, ce qui peut prêter à confusion. Le + dispositif d'authentification de base appartient à la couche HTTP, qui + est située au dessus de la couche SSL/TLS dans HTTPS. Avant tout + transfert de données HTTP sous HTTPS, la couche SSL/TLS a déjà achevé + sa phase de négociation et basculé dans le mode de communication + chiffrée. Ne vous laissez donc pas abuser par l'état de cet icône.
+La première raison en est la présence dans l'implémentation SSL de +
La première raison en est la présence dans l'implémentation SSL de certaines versions de MSIE de bogues subtils en rapport avec le dispositif de "maintien en vie" (keep-alive) HTTP, et les alertes de notification de fermeture de session SSL en cas de coupure de la -connexion au point d'entrée (socket). De plus, l'interaction entre -SSL et les fonctionnalités HTTP/1.1 pose problème avec certaines -versions de MSIE. Vous pouvez contourner ces problèmes en interdisant -à Apache l'utilisation de HTTP/1.1, les connexions avec maintien en vie +connexion au point d'entrée (socket). De plus, l'interaction entre +SSL et les fonctionnalités HTTP/1.1 pose problème avec certaines +versions de MSIE. Vous pouvez contourner ces problèmes en interdisant +à Apache l'utilisation de HTTP/1.1, les connexions avec maintien en vie ou l'envoi de messages de notification de fermeture de session SSL aux clients MSIE. Pour cela, vous pouvez utiliser la directive suivante -dans votre section d'hôte virtuel avec support SSL :
+dans votre section d'hôte virtuel avec support SSL :En outre, certaines versions de MSIE ont des problèmes avec des
- algorithmes de chiffrement particuliers. Hélas, il n'est pas
- possible d'apporter une solution spécifique à MSIE pour ces
- problèmes, car les algorithmes de chiffrement sont utilisés dès la
- phase de négociation SSL. Ainsi, une directive
-
En outre, certaines versions de MSIE ont des problèmes avec des
+ algorithmes de chiffrement particuliers. Hélas, il n'est pas
+ possible d'apporter une solution spécifique à MSIE pour ces
+ problèmes, car les algorithmes de chiffrement sont utilisés dès la
+ phase de négociation SSL. Ainsi, une directive
+
Voici les sources d'informations disponibles ; vous devez chercher -ici en cas de problème.
+ici en cas de problème.Voici toutes les possibilités de support pour mod_ssl, par ordre - de préférence. Merci d'utiliser ces possibilités - dans cet ordre - ne vous précipitez pas sur celle qui vous - paraît la plus alléchante.
+problème avec mod_ssl ? +Voici toutes les possibilités de support pour mod_ssl, par ordre + de préférence. Merci d'utiliser ces possibilités + dans cet ordre - ne vous précipitez pas sur celle qui vous + paraît la plus alléchante.
Vous devez toujours fournir au moins les informations suivantes :
httpd -v
. La version d'OpenSSL peut être déterminée
- en exécutant openssl version
. Si Lynx est installé,
- vous pouvez aussi exécuter la commandelynx -mime_header
+ - Les versions d'Apache httpd et OpenSSL installées
+ - La version d'Apache peut être déterminée en exécutant
+
httpd -v
. La version d'OpenSSL peut être déterminée
+ en exécutant openssl version
. Si Lynx est installé,
+ vous pouvez aussi exécuter la commandelynx -mime_header
http://localhost/ | grep Server
et ainsi obtenir ces
informations en une seule fois.
- - Les détails de votre installation d'Apache httpd et OpenSSL
+ - Les détails de votre installation d'Apache httpd et OpenSSL
- A cet effet, vous pouvez fournir un fichier journal de votre
- session de terminal qui montre les étapes de la configuration et
- de l'installation. En cas d'impossibilité, vous devez au moins
+ session de terminal qui montre les étapes de la configuration et
+ de l'installation. En cas d'impossibilité, vous devez au moins
fournir la ligne de commande
configure que
- vous avez utilisée.
+ vous avez utilisée.
- - En cas de vidage mémoire, inclure une trace de ce qui s'est
- passé
+ - En cas de vidage mémoire, inclure une trace de ce qui s'est
+ passé
- Si votre serveur Apache httpd fait un vidage de sa
- mémoire, merci de fournir en pièce jointe un fichier contenant
- une trace de la zone dédiée à la pile (voir
- ci-dessous pour des informations sur la manière
- de l'obtenir). Il est nécessaire de disposer de ces informations
- afin de pouvoir déterminer la raison de votre vidage mémoire.
+ mémoire, merci de fournir en pièce jointe un fichier contenant
+ une trace de la zone dédiée à la pile (voir
+ ci-dessous pour des informations sur la manière
+ de l'obtenir). Il est nécessaire de disposer de ces informations
+ afin de pouvoir déterminer la raison de votre vidage mémoire.
- - Une description détaillée de votre problème
+ - Une description détaillée de votre problème
- - Ne riez pas, nous sommes sérieux ! De nombreux rapports
- n'incluent pas de description de la véritable nature du problème.
- Sans ces informations, il est très difficile pour quiconque de
- vous aider. Donc, et c'est votre propre intérêt (vous souhaitez
- que le problème soit résolu, n'est-ce pas ?), fournissez, s'il vous
- plait, le maximum de détails possible. Bien entendu, vous devez
- aussi inclure tout ce qui a été dit précédemment.
+
- Ne riez pas, nous sommes sérieux ! De nombreux rapports
+ n'incluent pas de description de la véritable nature du problème.
+ Sans ces informations, il est très difficile pour quiconque de
+ vous aider. Donc, et c'est votre propre intérêt (vous souhaitez
+ que le problème soit résolu, n'est-ce pas ?), fournissez, s'il vous
+ plait, le maximum de détails possible. Bien entendu, vous devez
+ aussi inclure tout ce qui a été dit précédemment.
En général non, du moins tant que vous n'aurez pas fourni plus de -détails à propos de la localisation dans le code où Apache a effectué -son vidage mémoire. Ce dont nous avons en général besoin pour vous -aider est une trace de ce qui s'est passé (voir la question suivante). -Sans cette information, il est pratiquement impossible de déterminer -la nature du problème et de vous aider à le résoudre.
+En général non, du moins tant que vous n'aurez pas fourni plus de +détails à propos de la localisation dans le code où Apache a effectué +son vidage mémoire. Ce dont nous avons en général besoin pour vous +aider est une trace de ce qui s'est passé (voir la question suivante). +Sans cette information, il est pratiquement impossible de déterminer +la nature du problème et de vous aider à le résoudre.
Vous trouverez ci-dessous les différentes étapes permettant -d'obtenir une journalisation des évènements (backtrace) :
+ce qui s'est passé, pour m'aider à trouver la raison de ce vidage +mémoire ?Vous trouverez ci-dessous les différentes étapes permettant +d'obtenir une journalisation des évènements (backtrace) :
OPTIM="-g -ggdb3"
''. Sur les autres plates-formes,
l'option ``OPTIM="-g"
'' est un minimum.
CoreDumpDirectory /tmp
'' pour être sûr que le
- fichier de vidage mémoire puisse bien être écrit. Vous devriez
+ ``CoreDumpDirectory /tmp
'' pour être sûr que le
+ fichier de vidage mémoire puisse bien être écrit. Vous devriez
obtenir un fichier /tmp/core
ou
/tmp/httpd.core
. Si ce n'est pas le cas, essayez de
lancer votre serveur sous un UID autre que root.
- Pour des raisons de sécurité, de nombreux
- noyaux modernes de permettent pas à un processus de vider sa
- mémoire une fois qu'il a accompli un setuid()
(Ã moins
+ Pour des raisons de sécurité, de nombreux
+ noyaux modernes de permettent pas à un processus de vider sa
+ mémoire une fois qu'il a accompli un setuid()
(à moins
qu'il effectue un exec()
) car des informations d'un
- niveau privilégié pourraient être transmises en mémoire. Si
- nécessaire, vous pouvez exécuter /chemin/vers/httpd -X
- manuellement afin de ne pas permettre à Apache de se clôner (fork).
+ niveau privilégié pourraient être transmises en mémoire. Si
+ nécessaire, vous pouvez exécuter /chemin/vers/httpd -X
+ manuellement afin de ne pas permettre à Apache de se clôner (fork).
gdb /path/to/httpd /tmp/httpd.core
ou une commande
- similaire. Dans GDB, tout ce que vous avez à faire est d'entrer
+ similaire. Dans GDB, tout ce que vous avez à faire est d'entrer
bt
, et voila, vous obtenez la backtrace. Pour les
- débogueurs autres que GDB consulter le manuel correspondant.
+ débogueurs autres que GDB consulter le manuel correspondant.