You are viewing a plain text version of this content. The canonical link for it is here.
Posted to cvs@httpd.apache.org by lg...@apache.org on 2016/08/28 13:59:32 UTC
svn commit: r1758115 - in /httpd/httpd/trunk/docs/manual: mod/core.html.fr
mod/core.xml.meta mod/mod_rewrite.html.fr mod/mod_rewrite.xml.meta
ssl/ssl_howto.html.fr ssl/ssl_howto.xml.meta
Author: lgentis
Date: Sun Aug 28 13:59:31 2016
New Revision: 1758115
URL: http://svn.apache.org/viewvc?rev=1758115&view=rev
Log:
Rebuild.
Modified:
httpd/httpd/trunk/docs/manual/mod/core.html.fr
httpd/httpd/trunk/docs/manual/mod/core.xml.meta
httpd/httpd/trunk/docs/manual/mod/mod_rewrite.html.fr
httpd/httpd/trunk/docs/manual/mod/mod_rewrite.xml.meta
httpd/httpd/trunk/docs/manual/ssl/ssl_howto.html.fr
httpd/httpd/trunk/docs/manual/ssl/ssl_howto.xml.meta
Modified: httpd/httpd/trunk/docs/manual/mod/core.html.fr
URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/core.html.fr?rev=1758115&r1=1758114&r2=1758115&view=diff
==============================================================================
--- httpd/httpd/trunk/docs/manual/mod/core.html.fr (original)
+++ httpd/httpd/trunk/docs/manual/mod/core.html.fr Sun Aug 28 13:59:31 2016
@@ -33,8 +33,6 @@
<a href="../ja/mod/core.html" hreflang="ja" rel="alternate" title="Japanese"> ja </a> |
<a href="../tr/mod/core.html" hreflang="tr" rel="alternate" title="T�rk�e"> tr </a></p>
</div>
-<div class="outofdate">Cette traduction peut �tre p�rim�e. V�rifiez la version
- anglaise pour les changements r�cents.</div>
<table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Fonctionnalit�s de base du serveur HTTP Apache toujours
disponibles</td></tr>
<tr><th><a href="module-dict.html#Status">Statut:</a></th><td>Core</td></tr></table>
@@ -2176,9 +2174,9 @@ clients</td></tr>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Modifie les contraintes sur les messages des requ�tes HTTP</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>HttpProtocolOptions [Strict|Unsafe] [StrictURL|UnsafeURL]
- [StrictWhitespace|LenientWhitespace] [RegisteredMethods|LenientMethods]
+ [StrictWhitespace|UnsafeWhitespace] [RegisteredMethods|LenientMethods]
[Allow0.9|Require1.0]</code></td></tr>
-<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>HttpProtocolOptions Strict StrictURL LenientWhitespace
+<tr><th><a href="directive-dict.html#Default">D�faut:</a></th><td><code>HttpProtocolOptions Strict StrictURL StrictWhitespace
LenientMethods Allow0.9</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Core</td></tr>
@@ -2209,7 +2207,7 @@ Apache</td></tr>
r�gles de grammaire de la sp�cification doivent �tre respect�es dans le mode
d'op�rations par d�faut <code>Strict</code>.</p>
- <p><a href="https://tools.ietf.org/html/rfc3986#section-2.2">RFC 7230
+ <p><a href="https://tools.ietf.org/html/rfc3986#section-2.2">RFC 3986
�2.2 and 2.3</a> d�finit les "Caract�res r�serv�s" ainsi que les
"Caract�res non r�serv�s". Tous les autres caract�res doivent �tre encod�s
sous la forme %XX selon la sp�cification, et la RFC7230 se conforme � ces
@@ -2218,13 +2216,30 @@ Apache</td></tr>
contourn�e en utilisant l'option <code>UnsafeURI</code> qui permet de
supporter les agents utilisateur mal con�us.</p>
+
+
+ <p>La section de la <a href="https://tools.ietf.org/html/rfc7230#section-3.5">RFC 7230
+ �3.5</a> "Message Parsing Robustness" d�crit les risques potentiels
+ induits par l'interpr�tation de messages contenant des blancs repr�sent�s
+ par un caract�re autre que l'espace. Alors que les sp�cifications indiquent
+ qu'un et un seul espace s�pare l'URI de la m�thode et le protocole de l'URI,
+ et que seuls les espaces et les tabulations horizontales sont autoris�s
+ dans le contenu des en-t�tes de requ�tes,
+ le serveur HTTP Apache a toujours tol�r� des blancs constitu�s d'un ou
+ plusieurs espaces ou tabulations horizontales. L'option par d�faut
+ <code>StrictWhitespace</code> permet maintenant de rejeter toute requ�te non
+ conforme. L'administrateur peut cependant utiliser l'option
+ <code>UnsafeWhitespace</code> pour continuer � accepter les requ�tes non
+ conformes, avec un risque important d'interactions avec le mandataire.</p>
+
<p>Il est fortement d�conseill� aux utilisateurs d'utiliser les modes
- d'op�rations <code>Unsafe</code> et <code>UnsafeURI</code>, en particulier
- pour les d�ploiements de serveurs ouverts sur l'ext�rieur et/ou accessibles
- au public. Si un moniteur d�fectueux ou autre logiciel sp�cialis� ne
- s'ex�cutant que sur un intranet n�cessite une interface, les utilisateurs
- ne doivent les utilis�s qu'au sein d'un serveur virtuel bien sp�cifique et
- sur un r�seau priv�.</p>
+ d'op�rations <code>Unsafe</code> et <code>UnsafeURI</code>, ou
+ <code>UnsafeWhitespace</code>, en particulier pour les d�ploiements de
+ serveurs ouverts sur l'ext�rieur et/ou accessibles au public. Si un moniteur
+ d�fectueux ou autre logiciel sp�cialis� ne s'ex�cutant que sur un intranet
+ n�cessite une interface, les utilisateurs ne doivent utiliser les options de
+ type UnSafe qu'en cas de n�cessit� et uniquement au sein d'un serveur
+ virtuel bien sp�cifique et sur un r�seau priv�.</p>
<p>La consultation des messages enregistr�s dans le journal
<code class="directive">ErrorLog</code>, configur� via la directive
@@ -2234,20 +2249,6 @@ Apache</td></tr>
messages d'erreur de type 400 dans le journal access pour d�tecter les
requ�tes apparemment valides mais rejet�es.</p>
- <p>La section de la <a href="https://tools.ietf.org/html/rfc7230#section-3.5">RFC 7230
- �3.5</a> "Message Parsing Robustness" d�crit les risques potentiels
- induits par l'interpr�tation de messages contenant des blancs repr�sent�s
- par un caract�re autre que l'espace. Alors que les sp�cifications indiquent
- qu'un et un seul espace s�pare l'URI de la m�thode et le protocole de l'URI,
- le serveur HTTP Apache a toujours tol�r� des blancs constitu�s d'un ou
- plusieurs espaces ou tabulations horizontales. L'option par d�faut
- <code>LenientWhitespace</code> continue d'accepter de telles requ�tes en
- provenance d'agents utilisateurs non conformes, mais l'administrateur est
- encourag� � utiliser plut�t l'option <code>StrictWhitespace</code> pour
- imposer la pr�sence d'exactement deux espaces dans la ligne de requ�te.
- D'autres types de blancs comme les tabulations verticales, form feed
- ou retour chariot seront alors rejet�s et ne seront plus support�s.</p>
-
<p>La section de la <a href="https://tools.ietf.org/html/rfc7231#section-4.1">RFC 7231
�4.1</a> "Request Methods" "Overview" indique que les serveurs doivent
renvoyer un message d'erreur lorsque la ligne de requ�te comporte une
@@ -2265,7 +2266,7 @@ Apache</td></tr>
�19.6</a> "Compatibility With Previous Versions" encouragait les
serveurs HTTP � supporter les anciennes requ�tes HTTP/0.9. La RFC 7230 va
cependant � son encontre via sa pr�conisation "Le souhait de supporter les
- requ�tes HTTP/0.9 a �t� supprim�" et y adjoint des commentaires dans <a href="https://tools.ietf.org/html/rfc7230#appendix-A">RFC 2616 Appendix
+ requ�tes HTTP/0.9 a �t� supprim�" et y adjoint des commentaires dans <a href="https://tools.ietf.org/html/rfc7230#appendix-A">RFC 7230 Appendix
A</a>. A ce titre, l'option <code>Require1.0</code> permet � l'utilisateur
d'inhiber le comportement induit par l'option par d�faut
<code>Allow0.9</code>.</p>
Modified: httpd/httpd/trunk/docs/manual/mod/core.xml.meta
URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/core.xml.meta?rev=1758115&r1=1758114&r2=1758115&view=diff
==============================================================================
--- httpd/httpd/trunk/docs/manual/mod/core.xml.meta (original)
+++ httpd/httpd/trunk/docs/manual/mod/core.xml.meta Sun Aug 28 13:59:31 2016
@@ -10,7 +10,7 @@
<variant outdated="yes">de</variant>
<variant>en</variant>
<variant outdated="yes">es</variant>
- <variant outdated="yes">fr</variant>
+ <variant>fr</variant>
<variant outdated="yes">ja</variant>
<variant outdated="yes">tr</variant>
</variants>
Modified: httpd/httpd/trunk/docs/manual/mod/mod_rewrite.html.fr
URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/mod_rewrite.html.fr?rev=1758115&r1=1758114&r2=1758115&view=diff
==============================================================================
--- httpd/httpd/trunk/docs/manual/mod/mod_rewrite.html.fr (original)
+++ httpd/httpd/trunk/docs/manual/mod/mod_rewrite.html.fr Sun Aug 28 13:59:31 2016
@@ -29,8 +29,6 @@
<p><span>Langues Disponibles: </span><a href="../en/mod/mod_rewrite.html" hreflang="en" rel="alternate" title="English"> en </a> |
<a href="../fr/mod/mod_rewrite.html" title="Fran�ais"> fr </a></p>
</div>
-<div class="outofdate">Cette traduction peut �tre p�rim�e. V�rifiez la version
- anglaise pour les changements r�cents.</div>
<table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Ce module fournit un moteur de r��criture � base de
r�gles permettant de r��crire les URLs des requ�tes
� la vol�e</td></tr>
@@ -183,7 +181,7 @@ AliasMatch "^/myapp" "/opt/myapp-1.2.3"
la r��criture soit effectu�e
</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code> RewriteCond
- <em>cha�ne_de_test</em> <em>expression_de_comparaison</em></code></td></tr>
+ <em>cha�ne_de_test</em> <em>expression_de_comparaison</em> [<em>drapeaux</em>]</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, r�pertoire, .htaccess</td></tr>
<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>FileInfo</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
@@ -728,13 +726,14 @@ RewriteRule ^(.+) /other/archive/$1 [R]<
RewriteRule "^/images" "-" [F]</pre>
</li>
+ </ol>
- <li>Vous pouvez aussi d�finir certains drapeaux pour
+ <p>Vous pouvez aussi d�finir certains drapeaux pour
l'<em>expression_de_comparaison</em> en ajoutant ces
<strong><code>[</code><em>drapeaux</em><code>]</code></strong>
comme troisi�me argument de la directive
<code>RewriteCond</code>, o� <em>drapeaux</em> est un
- sous-ensemble s�par� par des virgules des drapeaux suivants :
+ sous-ensemble s�par� par des virgules des drapeaux suivants :</p>
<ul>
<li>'<strong><code>nocase|NC</code></strong>'
@@ -775,8 +774,7 @@ RewriteRule ...r�gles concernant tous c
fonctionnement de l'en-t�te Vary.
</li>
</ul>
- </li>
- </ol>
+
<p><strong>Exemple :</strong></p>
@@ -1116,44 +1114,44 @@ pour le moteur de r��criture</td></tr>
<p><a id="patterns" name="patterns"><em>Mod�le</em></a> est une
<a id="regexp" name="regexp">expression rationnelle</a>
- compatible perl. Dans la premi�re r�gle de r��criture,
- l'expression est compar�e au (%-decoded)
- <a href="directive-dict.html#Syntax">chemin de l'URL</a> de la
- requ�te, ou, dans un contexte de r�pertoire (voir
- ci-dessous), au chemin de l'URL relativement � ce contexte de
- r�pertoire. Les expressions suivantes sont compar�es � la sortie de
- la derni�re r�gle de r��criture qui
- correspondait.</p>
+ compatible perl. Ce avec quoi ce mod�le est compar� d�pend de l'endroit o�
+ la directive <code class="directive">RewriteRule</code> est d�finie.</p>
<div class="note"><h3><a id="what_is_matched" name="what_is_matched">Qu'est-ce qui est compar� ?</a></h3>
- <p>Dans un contexte de serveur virtuel <code class="directive"><a href="../mod/core.html#virtualhost">VirtualHost</a></code>, le <em>mod�le</em> est tout
+<ul>
+ <li><p>Dans un contexte de serveur virtuel <code class="directive"><a href="../mod/core.html#virtualhost">VirtualHost</a></code>, le <em>mod�le</em> est tout
d'abord compar� � la portion de l'URL situ�e entre le nom d'h�te
�ventuellement accompagn� du port, et la cha�ne de param�tres (par
- exemple "/app1/index.html").</p>
+ exemple "/app1/index.html"). Il s'agit du <a href="directive-dict.html#Syntax">URL-path</a> d�cod� de sa valeur "%xx".</p></li>
- <p>Dans les contextes de r�pertoire <code class="directive"><a href="../mod/core.html#directory">Directory</a></code> et htaccess, le
- <em>mod�le</em> est tout d'abord compar� au chemin du <em>syst�me
- de fichiers</em>, apr�s suppression du pr�fixe ou chemin de base
- ayant conduit le serveur vers la r�gle <code class="directive">RewriteRule</code> (par
- exemple "app1/index.html" ou
- "index.html" selon l'endroit o� les directives sont d�finies).</p>
+ <li><p>Dans un contexte de r�pertoire (sections <code class="directive"><a href="../mod/core.html#directory">Directory</a></code> et fichiers .htaccess), le
+ <em>Mod�le</em> est compar� avec une partie de chemin ; par exemple une
+ requ�te pour "/app1/index.html" entra�nera une comparaison avec
+ "app1/index.html" ou "index.html" selon l'endroit o� la directive
+ <code class="directive">RewriteRule</code> est d�finie.</p>
+
+ <p>Le chemin o� la r�gle est d�fini est supprim� du chemin correspondant
+ du syst�me de fichiers avant comparaison (jusqu'au slash final compris).
+ En cons�quence de cette suppression, les r�gles d�finies dans
+ ce contexte n'effectuent des comparaisons qu'avec la portion du chemin
+ du syst�me de fichiers "en dessous" de l'endroit o� la r�gle est d�finie.</p>
+
+ <p>Le chemin correspondant actuel du syst�me de fichiers est d�termin� par
+ des directives telles que <code class="directive">DocumentRoot</code> et
+ <code class="directive">Alias</code>, ou m�me le r�sultat de substitutions dans
+ des r�gles <code class="directive">RewriteRule</code> pr�c�dentes.
+ </p>
+ </li>
- <p>Si vous souhaitez faire une comparaison sur le nom
+ <li><p>Si vous souhaitez faire une comparaison sur le nom
d'h�te, le port, ou la cha�ne de requ�te, utilisez une
directive <code class="directive"><a href="#rewritecond">RewriteCond</a></code>
comportant respectivement les variables
<code>%{HTTP_HOST}</code>, <code>%{SERVER_PORT}</code>, ou
- <code>%{QUERY_STRING}</code>.</p>
-
- <p>Dans tous les cas, il faut garder � l'esprit que les expressions
- rationnelles permettent de rechercher des correspondances de sous-cha�nes.
- En d'autres termes, l'expression rationnelle n'a pas besoin de correspondre �
- l'ensemble de la cha�ne, mais seulement � la partie que vous souhaitez
- voir correspondre. Ainsi, l'utilisation de l'expression <code>.</code> est
- souvent suffisante et pr�f�rable � <code>.*</code>, et l'expression
- <code>abc</code> <strong>n'est pas</strong> identique � l'expression
- <code>^abc$</code>.</p>
+ <code>%{QUERY_STRING}</code>.</p></li>
+</ul>
+
</div>
<div class="note"><h3>R��critures dans un contexte de r�pertoire</h3>
@@ -1171,13 +1169,7 @@ niveau du r�pertoire d'un utilisateur,
moteur de r��criture. Cette restriction a �t� instaur�e � des fins de
s�curit�.</li>
-<li>Lorsqu'on utilise le moteur de r��criture dans un fichier
-<code>.htaccess</code>, le chemin de base du r�pertoire courant (autrement dit
-le chemin URI qui repr�sente le r�pertoire contenant ce fichier
-<code>.htaccess</code>) est <em>supprim�</em> au cours de la
-comparaison avec le mod�le de la r�gle de r��criture, et
-<em>ajout�</em> lorsqu'une substitution relative (ne d�butant pas par un slash
-ou un nom de protocole) arrive � la fin d'un jeu de r�gles. Voir la directive
+<li>Voir la directive
<code class="directive"><a href="#rewritebase">RewriteBase</a></code> pour plus de d�tails �
propos de l'ajout du pr�fixe apr�s les substitutions relatives.</li>
Modified: httpd/httpd/trunk/docs/manual/mod/mod_rewrite.xml.meta
URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/mod_rewrite.xml.meta?rev=1758115&r1=1758114&r2=1758115&view=diff
==============================================================================
--- httpd/httpd/trunk/docs/manual/mod/mod_rewrite.xml.meta (original)
+++ httpd/httpd/trunk/docs/manual/mod/mod_rewrite.xml.meta Sun Aug 28 13:59:31 2016
@@ -8,6 +8,6 @@
<variants>
<variant>en</variant>
- <variant outdated="yes">fr</variant>
+ <variant>fr</variant>
</variants>
</metafile>
Modified: httpd/httpd/trunk/docs/manual/ssl/ssl_howto.html.fr
URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/ssl/ssl_howto.html.fr?rev=1758115&r1=1758114&r2=1758115&view=diff
==============================================================================
--- httpd/httpd/trunk/docs/manual/ssl/ssl_howto.html.fr (original)
+++ httpd/httpd/trunk/docs/manual/ssl/ssl_howto.html.fr Sun Aug 28 13:59:31 2016
@@ -26,8 +26,6 @@
<p><span>Langues Disponibles: </span><a href="../en/ssl/ssl_howto.html" hreflang="en" rel="alternate" title="English"> en </a> |
<a href="../fr/ssl/ssl_howto.html" title="Fran�ais"> fr </a></p>
</div>
-<div class="outofdate">Cette traduction peut �tre p�rim�e. V�rifiez la version
- anglaise pour les changements r�cents.</div>
<p>Ce document doit vous permettre de d�marrer et de faire fonctionner
@@ -37,8 +35,7 @@ de la documentation SSL afin d'en compre
mani�re plus approfondie.</p>
</div>
<div id="quickview"><ul id="toc"><li><img alt="" src="../images/down.gif" /> <a href="#configexample">Exemple de configuration basique</a></li>
-<li><img alt="" src="../images/down.gif" /> <a href="#ciphersuites">Suites de chiffrement et mise en application de la s�curit�
-de haut niveau</a></li>
+<li><img alt="" src="../images/down.gif" /> <a href="#ciphersuites">Suites d'algorithmes de chiffrement et mise en oeuvre du chiffrement fort</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ocspstapling">Agrafage OCSP</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#accesscontrol">Authentification du client et contr�le d'acc�s</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#logging">Journalisation</a></li>
@@ -62,13 +59,44 @@ suivantes :</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
-<h2><a name="ciphersuites" id="ciphersuites">Suites de chiffrement et mise en application de la s�curit�
-de haut niveau</a></h2>
+<h2><a name="ciphersuites" id="ciphersuites">Suites d'algorithmes de chiffrement et mise en oeuvre du chiffrement fort</a></h2>
+
+
+<div class="warning">
+<p>Le "chiffrement fort est et a toujours �t� une cible mouvante. En outre, la
+d�finition du terme "fort" d�pend de l'utilisation que vous allez faire de votre
+chiffrement, de vos mod�les de menaces, et du niveau de risque que vous
+consid�rez comme acceptable. L'�quipe du serveur HTTP Apache ne peut donc pas
+d�finir ce chiffrement fort � votre place.</p>
+<p>Dans ce document dont la derni�re mise � jour remonte � la mi-2016, une
+"chiffrement fort" fait r�f�rence � une impl�mentation TLS qui fournit, en plus
+d'une protection basique de la confidentialit�, de l'int�grit� et de
+l'authenticit� que tout utilisateur s'attend � trouver, toutes les
+fonctionnalit�s suivantes :</p>
+<ul>
+<li>Une confidentialit� persistante (Forward Secrecy) parfaite qui garantie que
+la d�couverte de la cl� priv�e d'un serveur ne compromettra pas la
+condidentialit� des communications TLS pass�es.</li>
+<li>Une protection contre les types d'attaque connus contre les anciennes
+impl�mentations SSL et TLS comme <a href="https://en.wikipedia.org/wiki/POODLE">POODLE</a> et <a href="https://en.wikipedia.org/wiki/Transport_Layer_Security#BEAST_attack">BEAST</a>.</li>
+<li>Le support des algorithmes de chiffrement les plus efficaces disponibles sur
+les navigateurs web modernes (et � jour), ainsi que sur les autres clients HTTP.</li>
+<li>Le <strong>Rejet</strong> des clients qui ne sont pas en mesure de respecter
+ces pr�requis. En d'autres termes, un "chiffrement fort" implique que les
+clients obsol�tes ne doivent pas avoir la possibilit� de se connecter au serveur
+afin de les emp�cher de mettre en danger leurs utilisateurs. Vous seul(e) �tes
+alors � m�me de d�cider si ce comportement est appropri� � votre situation.</li>
+</ul>
+<p>Notez cependant qu'un <em>chiffrement fort</em> ne suffit pas � lui seul pour
+assurer un niveau de <em>securit�</em> fort (A titre d'exemple, les attaques
+oracle sur la compression HTTP comme <a href="https://en.wikipedia.org/wiki/BREACH_(security_exploit)">BREACH</a>
+peuvent n�cessiter des actions suppl�mentaires pour �tre �radiqu�es).</p>
+</div>
<ul>
<li><a href="#onlystrong">Comment cr�er un serveur SSL
qui n'accepte que le chiffrement fort ?</a></li>
-<li><a href="#strongurl">Comment cr�er un serveur qui accepte tous les types de
+<li><a href="#strongurl">Comment cr�er un serveur qui accepte de nombreux types de
chiffrement en g�n�ral, mais exige un chiffrement fort pour pouvoir
acc�der � une URL particuli�re ?</a></li>
</ul>
@@ -77,22 +105,49 @@ acc�der � une URL particuli�re ?</a><
<h3><a name="onlystrong" id="onlystrong">Comment cr�er un serveur SSL qui n'accepte
que le chiffrement fort ?</a></h3>
- <p>Les directives suivantes ne permettent que les
- chiffrements de plus haut niveau :</p>
- <pre class="prettyprint lang-config">SSLCipherSuite HIGH:!aNULL:!MD5</pre>
-
-
- <p>Avec la configuration qui suit, vous indiquez une pr�f�rence pour
- des algorityhmes de chiffrement sp�cifiques optimis�s en mati�re de
- rapidit� (le choix final sera op�r� par mod_ssl, dans la mesure ou le
- client les supporte) :</p>
-
- <pre class="prettyprint lang-config">SSLCipherSuite RC4-SHA:AES128-SHA:HIGH:!aNULL:!MD5
-SSLHonorCipherOrder on</pre>
-
+ <p>La configuration suivante active le "chiffrement fort" telle qu'il est
+ d�fini ci-dessus, et s'inspire du document de la Fondation Mozilla sur les
+ pr�requis de <a href="https://wiki.mozilla.org/Security/Server_Side_TLS">Server Side
+ TLS</a> :</p>
+
+ <pre class="prettyprint lang-config"># Configuration "moderne" d�finie en ao�t 2016 par le g�n�rateur de
+# configuration SSL de la Fondation Mozilla. Ce dernier est disponible �
+# https://mozilla.github.io/server-side-tls/ssl-config-generator/
+SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
+# De nombreux algorithmes de chiffrement d�finis ici n�cessitent une version
+# r�cente (1.0.1 ou plus) d'OpenSSL. Certains n�cessitent m�me OpenSSL 1.1.0
+# qui, � l'heure o� ces lignes sont �crites, �tait encore en pre-release.
+SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
+SSLHonorCipherOrder on
+SSLCompression off
+SSLSessionTickets off</pre>
+
+
+ <ul>
+ <li>SSL 3.0 et TLS 1.0 �tant vuln�rables � certaines attaques connues contre
+ le protocole, ils ont �t� enti�rement retir�s.</li>
+ <li>Actuellement (en ao�t 2016), la d�sactivation de TLS 1.1 est facultative
+ ; TLS 1.2 fournit des options de chiffrement plus �volu�es, mais la version
+ 1.1 n'est pas encore consid�r�e comme obsol�te. La d�sactivation de TLS 1.1
+ peut cependant juguler des attaques contre certaines impl�mentations
+ d�pass�es de TLS.</li>
+ <li>La directive <code class="directive"><a href="../mod/mod_ssl.html#sslhonorcipherorder">SSLHonorCipherOrder</a></code>
+ permet de s'assurer que ce sont les pr�f�rences de chiffrement du serveur
+ qui seront suivies, et non celles du client.</li>
+ <li>La d�sactivation de <code class="directive"><a href="../mod/mod_ssl.html#sslcompression">SSLCompression</a></code> permet de pr�venir les attaques
+ oracle sur la compression TLS (en autres <a href="https://en.wikipedia.org/wiki/CRIME">CRIME</a>).</li>
+ <li>La d�sactivation de <code class="directive"><a href="../mod/mod_ssl.html#sslsessiontickets">SSLSessionTickets</a></code> permet de s'assurer que la
+ qualit� de la confidentialit� persistante (Forward Secrecy) ne sera pas
+ compromise, m�me si le serveur n'est pas red�marr� r�guli�rement.</li>
+ </ul>
+
+ <p>C'est votre version d'OpenSSL install�e qui d�termine la liste des
+ algorithmes de chiffrement support�s par la directive <code class="directive"><a href="../mod/mod_ssl.html#sslciphersuite">SSLCipherSuite</a></code>, et non le serveur. Pour pouvoir
+ utiliser certains d'entre eux, vous devrez peut-�tre mettre � jour votre
+ version d'OpenSSL.</p>
-<h3><a name="strongurl" id="strongurl">Comment cr�er un serveur qui accepte tous les types de
+<h3><a name="strongurl" id="strongurl">Comment cr�er un serveur qui accepte de nombreux types de
chiffrement en g�n�ral, mais exige un chiffrement fort pour pouvoir
acc�der � une URL particuli�re ?</a></h3>
@@ -104,13 +159,15 @@ acc�der � une URL particuli�re ?</a><
<code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> peut alors forcer automatiquement une
ren�gociation des param�tres SSL pour parvenir au but recherch�.
Cette configuration peut se pr�senter comme suit :</p>
- <pre class="prettyprint lang-config"># soyons tr�s tol�rant a priori
-SSLCipherSuite ALL:!aNULL:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP:+eNULL
+ <pre class="prettyprint lang-config"># soyons tr�s tol�rant a priori -- utilisons la suite d'algorithmes de
+# chiffrement "interm�diaire" de Mozilla (des suites plus l�g�res peuvent aussi
+# �tre utilis�es mais ne seront pas document�es ici)
+SSLCipherSuite ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES256-SHA:ECDHE-ECDSA-DES-CBC3-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:DES-CBC3-SHA:!DSS
<Location "/strong/area">
-# sauf pour https://hostname/strong/area/ et ses sous-r�pertoires
-# qui exigent des chiffrements forts
-SSLCipherSuite HIGH:!aNULL:!MD5
+# sauf pour https://hostname/strong/area/ et ses sous-r�pertoires qui exigent
+# des chiffrements forts
+SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256
</Location></pre>
Modified: httpd/httpd/trunk/docs/manual/ssl/ssl_howto.xml.meta
URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/ssl/ssl_howto.xml.meta?rev=1758115&r1=1758114&r2=1758115&view=diff
==============================================================================
--- httpd/httpd/trunk/docs/manual/ssl/ssl_howto.xml.meta (original)
+++ httpd/httpd/trunk/docs/manual/ssl/ssl_howto.xml.meta Sun Aug 28 13:59:31 2016
@@ -8,6 +8,6 @@
<variants>
<variant>en</variant>
- <variant outdated="yes">fr</variant>
+ <variant>fr</variant>
</variants>
</metafile>