diff options
Diffstat (limited to 'docs/manual/mod/mod_ssl.html.fr')
| -rw-r--r-- | docs/manual/mod/mod_ssl.html.fr | 108 |
1 files changed, 70 insertions, 38 deletions
diff --git a/docs/manual/mod/mod_ssl.html.fr b/docs/manual/mod/mod_ssl.html.fr index 7ae438d0..c9d5ea90 100644 --- a/docs/manual/mod/mod_ssl.html.fr +++ b/docs/manual/mod/mod_ssl.html.fr @@ -126,7 +126,9 @@ disponibles avec Require</a></li> <li><img alt="" src="../images/down.gif" /> <a href="#sslverifyclient">SSLVerifyClient</a></li> <li><img alt="" src="../images/down.gif" /> <a href="#sslverifydepth">SSLVerifyDepth</a></li> </ul> -<ul class="seealso"><li><a href="#comments_section">Commentaires</a></li></ul></div> +<h3>Traitement des bugs</h3><ul class="seealso"><li><a href="https://www.apache.org/dist/httpd/CHANGES_2.4">Journal des modifications de httpd</a></li><li><a href="https://bz.apache.org/bugzilla/buglist.cgi?bug_status=__open__&list_id=144532&product=Apache%20httpd-2&query_format=specific&order=changeddate%20DESC%2Cpriority%2Cbug_severity&component=mod_ssl">Problèmes connus</a></li><li><a href="https://bz.apache.org/bugzilla/enter_bug.cgi?product=Apache%20httpd-2&component=mod_ssl">Signaler un bug</a></li></ul><h3>Voir aussi</h3> +<ul class="seealso"> +<li><a href="#comments_section">Commentaires</a></li></ul></div> <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> <div class="section"> <h2><a name="envvars" id="envvars">Variables d'environnement</a></h2> @@ -418,8 +420,8 @@ disponibles avec Require</a></h2> authentifié via un certificat client ou par nom d'utilisateur/mot de passe :</p> - <pre class="prettyprint lang-config"> Require ssl-verify-client<br /> - Require valid-user</pre> + <pre class="prettyprint lang-config">Require ssl-verify-client +Require valid-user</pre> @@ -542,11 +544,13 @@ assurer que ce répertoire contient les liens symboliques appropriés.</p> <div class="directive-section"><h2><a name="sslcarevocationcheck" id="sslcarevocationcheck">Directive</a> <a name="SSLCARevocationCheck" id="SSLCARevocationCheck">SSLCARevocationCheck</a></h2> <table class="directive"> <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Active la vérification des révocations basée sur les CRL</td></tr> -<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCARevocationCheck chain|leaf|none</code></td></tr> +<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLCARevocationCheck chain|leaf|none <em>flag</em>s</code></td></tr> <tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLCARevocationCheck none</code></td></tr> <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr> <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr> <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> +<tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Le drapeau optionnel <em>flag</em>s est disponible à partir de la +version 2.5-dev du serveur HTTP Apache</td></tr> </table> <p> Active la vérification des révocations basée sur les Listes de @@ -556,22 +560,27 @@ recommandée), les vérifications CRL sont effectuées sur tous les certificats de la chaîne, alors que la valeur <code>leaf</code> limite la vérification au certificat hors chaîne (la feuille). </p> -<div class="note"> -<h3>Lorsque la directive est définie à <code>chain</code> ou -<code>leaf</code>, les CRLs doivent être disponibles pour que la -validation réussisse</h3> +<p><em>flag</em>s peut prendre comme valeurs </p> +<ul> +<li><code>no_crl_for_cert_ok</code> <p> Avant la version 2.3.15, les vérifications CRL dans mod_ssl réussissaient même si aucune CRL n'était trouvée dans les chemins -définis par les directives <code class="directive"><a href="#sslcarevocationfile">SSLCARevocationFile</a></code> ou <code class="directive"><a href="#sslcarevocationpath">SSLCARevocationPath</a></code>. Le comportement a -changé avec l'introduction de cette directive : lorsque la vérification -est activée, les CRLs <em>doivent</em> être présentes pour que la +définis par les directives <code class="directive"><a href="#sslcarevocationfile">SSLCARevocationFile</a></code> ou <code class="directive"><a href="#sslcarevocationpath">SSLCARevocationPath</a></code>.</p> +<p>Le comportement a +changé avec l'introduction de la directive +<code class="directive">SSLCARevocationFile</code> : par défaut avec +<code>chain</code> ou <code>leaf</code>, les CRLs <em>doivent</em> être présentes pour que la validation réussisse ; dans le cas contraire, elle échouera avec une -erreur <code>"CRL introuvable"</code>. -</p> -</div> +erreur <code>"unable to get certificate CRL"</code>.</p> +<p>La valeur <code>no_crl_for_cert_ok</code> du drapeau <em>flag</em> permet de +retrouver le comportement précédent.</p> +</li> +</ul> <div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLCARevocationCheck chain</pre> </div> +<div class="example"><h3>Compatibilité avec la branche 2.2</h3><pre class="prettyprint lang-config">SSLCARevocationCheck chain no_crl_for_cert_ok</pre> +</div> </div> <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div> @@ -1788,17 +1797,32 @@ du serveur distant <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr> </table> <p> -Cette directive permet de définir si le champ CN du certificat -du serveur distant doit être comparé au nom de serveur de l'URL de la -requête. S'ils ne correspondent pas, un -code d'état 502 (Bad Gateway) est envoyé. +Cette directive permet de définir si le champ CN du certificat du serveur +distant doit être comparé au nom de serveur de l'URL de la requête. S'ils ne +correspondent pas, un code d'état 502 (Bad Gateway) est envoyé. A partir de la +version 2.4.5, SSLProxyCheckPeerCN a été remplacé par <code class="directive"><a href="#sslproxycheckpeername">SSLProxyCheckPeerName</a></code>. </p> <p> -A partir de la version 2.4.5, SSLProxyCheckPeerCN a été remplacé par <code class="directive"><a href="#sslproxycheckpeername">SSLProxyCheckPeerName</a></code>, et sa définition -n'est prise en compte que si <code>SSLProxyCheckPeerName off</code> a -été spécifié. +De la version 2.4.5 à la version 2.4.20, spécifier <code>SSLProxyCheckPeerName +off</code> était suffisant pour obtenir ce comportement (car la valeur par +défaut de <code>SSLProxyCheckPeerCN</code> était <code>on</code>). Avec ces +versions, les deux directives doivent être définies à <code>off</code> pour +éviter toute validation du nom de certificat du serveur distant, et de +nombreux utilisateurs ont signalé ce comportement comme très perturbant. </p> -<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCheckPeerCN on</pre> +<p> +A partir de la version 2.4.21, toutes les configurations qui activent au moins +une des deux directives <code>SSLProxyCheckPeerName</code> ou +<code>SSLProxyCheckPeerCN</code> adopteront le nouveau comportement de la +directive <code class="directive"><a href="#sslproxycheckpeername">SSLProxyCheckPeerName</a></code>, et +toutes les configurations qui désactivent une des deux directives +<code>SSLProxyCheckPeerName</code> ou <code>SSLProxyCheckPeerCN</code> +éviteront toute validation du nom de certificat du serveur distant. Seule la +configuration suivante permettra de retrouver la comparaison de CN +traditionnelle pour les versions 2.4.21 et supérieures : +</p> +<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCheckPeerCN on +SSLProxyCheckPeerName off</pre> </div> </div> @@ -1838,23 +1862,31 @@ certificats serveur distants Apache</td></tr> </table> <p> -Cette directive permet de configurer la vérification du nom d'hôte dans -les certificats de serveur lorsque mod_ssl agit en tant que client SSL. -La vérification est concluante si le nom d'hôte de l'URI de la requête -correspond soit à l'extension subjectAltName, soit à l'un des attributs -CN dans le sujet du certificat. Si la vérification échoue, la requête -SSL est annulée et un code d'erreur 502 (Bad Gateway) est renvoyé. Cette -directive remplace la directive <code class="directive"><a href="#sslproxycheckpeercn">SSLProxyCheckPeerCN</a></code> qui ne prenait en -compte que le premier attribut CN pour la vérification du nom d'hôte. +Cette directive permet de configurer la vérification du nom d'hôte pour +les certificats serveur lorsque mod_ssl agit en tant que client SSL. La +vérification réussit si le nom d'hôte de l'URI de la requête correspond à un +des attributs CN du sujet du certificat, ou à l'extension subjectAltName. Si la +vérification échoue, la requête SSL +avorte, et un code d'erreur 502 (Bad Gateway) est renvoyé. +</p> +<p> +Les caractères génériques sont supportés dans certains cas bien spécifiques : +une entrée subjectAltName de type dNSName ou les attributs CN +commençant par <code>*.</code> correspondront à tout nom d'hôte comportant +le même nombre de champs et le même suffixe ; par exemple, +<code>*.example.org</code> correspondra à <code>foo.example.org</code>, +mais pas à <code>foo.bar.example.org</code> car le nombre d'éléments dans les +nom est différent. </p> <p> -La vérification du nom d'hôte avec caractères générique est supportée de -la manière suivante : les entrées subjectAltName de type dNSName ou les -attributs CN commençant par <code>*.</code> correspondront à tout nom -DNS comportant le même nombre d'éléments et le même suffixe (par -exemple, <code>*.example.org</code> correspondra à -<code>foo.example.org</code>, mais pas à -<code>foo.bar.example.org</code>). +Cette fonctionnalité a été introduite avec la version 2.4.5 et l'emporte sur la +directive <code class="directive"><a href="#sslproxycheckpeercn">SSLProxyCheckPeerCN</a></code> qui ne +comparait que la valeur exacte du premier attribut CN avec le nom d'hôte. +Cependant, de nombreux utilisateurs étaient déconcertés par le comportement +induit par l'utilisation de ces deux directives individuellement, si bien que ce +comportement a été amélioré avec la version 2.4.21. Voir la description de la +directive <code class="directive"><a href="#sslproxycheckpeercn">SSLProxyCheckPeerCN</a></code> pour le +comportement original et des détails à propos de ces améliorations. </p> </div> @@ -2445,7 +2477,7 @@ supportés :</p> <li><code>dc:UNIX:/chemin/vers/socket</code> <p>Cette valeur utilise les bibliothèques de mise en cache de - sessions distribuée sur <a href="http://www.distcache.org/">cache distant "distcache"</a>. + sessions distribuée sur <a href="http://distcache.sourceforge.net/">distcache</a>. L'argument doit spécifier le serveur ou mandataire à utiliser en utilisant la syntaxe d'adressage distcache ; par exemple, <code>UNIX:/chemin/vers/socket</code> spécifie une socket de domaine |