You are viewing a plain text version of this content. The canonical link for it is here.
Posted to cvs@httpd.apache.org by lg...@apache.org on 2013/11/16 16:09:46 UTC
svn commit: r1542523 - in /httpd/httpd/branches/2.4.x/docs/manual:
mod/mod_authn_socache.xml.fr mod/mod_macro.xml.fr mod/mod_ssl.xml.fr
ssl/ssl_faq.xml.fr
Author: lgentis
Date: Sat Nov 16 15:09:46 2013
New Revision: 1542523
URL: http://svn.apache.org/r1542523
Log:
Updates.
Modified:
httpd/httpd/branches/2.4.x/docs/manual/mod/mod_authn_socache.xml.fr
httpd/httpd/branches/2.4.x/docs/manual/mod/mod_macro.xml.fr
httpd/httpd/branches/2.4.x/docs/manual/mod/mod_ssl.xml.fr
httpd/httpd/branches/2.4.x/docs/manual/ssl/ssl_faq.xml.fr
Modified: httpd/httpd/branches/2.4.x/docs/manual/mod/mod_authn_socache.xml.fr
URL: http://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/docs/manual/mod/mod_authn_socache.xml.fr?rev=1542523&r1=1542522&r2=1542523&view=diff
==============================================================================
--- httpd/httpd/branches/2.4.x/docs/manual/mod/mod_authn_socache.xml.fr (original)
+++ httpd/httpd/branches/2.4.x/docs/manual/mod/mod_authn_socache.xml.fr Sat Nov 16 15:09:46 2013
@@ -1,7 +1,7 @@
<?xml version="1.0"?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1540312:1540798 (outdated) -->
+<!-- English Revision : 1540798 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
@@ -132,6 +132,8 @@ utiliser</description>
<syntax>AuthnCacheSOCache <var>nom-fournisseur[:arguments-fournisseur]</var></syntax>
<contextlist><context>server config</context></contextlist>
<override>None</override>
+<compatibility>Les paramètres optionnels du fournisseur sont disponibles
+depuis la version 2.4.7 du serveur HTTP Apache</compatibility>
<usage>
<p>Cette définition s'applique à l'ensemble du serveur et permet de
Modified: httpd/httpd/branches/2.4.x/docs/manual/mod/mod_macro.xml.fr
URL: http://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/docs/manual/mod/mod_macro.xml.fr?rev=1542523&r1=1542522&r2=1542523&view=diff
==============================================================================
--- httpd/httpd/branches/2.4.x/docs/manual/mod/mod_macro.xml.fr (original)
+++ httpd/httpd/branches/2.4.x/docs/manual/mod/mod_macro.xml.fr Sat Nov 16 15:09:46 2013
@@ -1,7 +1,7 @@
<?xml version="1.0"?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1533199:1542330 (outdated) -->
+<!-- English Revision: 1542330 -->
<!-- French translation: Fabien Coelho -->
<!-- Updated by Lucien Gentis -->
Modified: httpd/httpd/branches/2.4.x/docs/manual/mod/mod_ssl.xml.fr
URL: http://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/docs/manual/mod/mod_ssl.xml.fr?rev=1542523&r1=1542522&r2=1542523&view=diff
==============================================================================
--- httpd/httpd/branches/2.4.x/docs/manual/mod/mod_ssl.xml.fr (original)
+++ httpd/httpd/branches/2.4.x/docs/manual/mod/mod_ssl.xml.fr Sat Nov 16 15:09:46 2013
@@ -1,7 +1,7 @@
<?xml version="1.0"?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1533763:1542327 (outdated) -->
+<!-- English Revision : 1542327 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
@@ -868,6 +868,17 @@ plus tard)</li>
<li><code>!</code>: supprime définitivement l'algorithme de la liste (ne
peut <strong>plus</strong> y être rajouté plus tard)</li>
</ul>
+
+<note>
+<title>Les algorithmes <code>aNULL</code>, <code>eNULL</code> et
+<code>EXP</code> sont toujours désactivés</title>
+<p>Depuis la version 2.4.7, les
+algorithmes de type null ou destinés à l'exportation sont toujours
+désactivés car mod_ssl fait
+obligatoirement précéder toute chaîne de suite d'algorithmes par
+<code>!aNULL:!eNULL:!EXP:</code> à l'initialisation.</p>
+</note>
+
<p>Pour vous simplifier la vie, vous pouvez utiliser la commande
``<code>openssl ciphers -v</code>'' qui vous fournit un moyen simple de
créer la chaîne <em>algorithmes</em> avec succès. La chaîne
@@ -946,12 +957,35 @@ PEM</description>
<usage>
<p>
Cette directive permet de définir le fichier contenant le certificat
-X.509 du serveur codé en PEM, et par la même occasion sa clé privée RSA
-ou DSA (contenue dans le même fichier). Si la clé privée est chiffrée,
-le mot de passe sera demandé au démarrage. Cette directive peut être
-utilisée trois fois (pour référencer des noms de fichiers différents),
-lorsque des certificats de serveur RSA, DSA et ECC sont utilisés en
-parallèle.</p>
+X.509 du serveur codé au format PEM, éventuellement sa
+clé privée, et enfin (depuis la version 2.4.7) les
+paramètres DH et/ou un nom EC curve pour les clés
+éphémères (générés respectivement par <code>openssl dhparam</code> et
+<code>openssl ecparam</code>). Si la clé privée est chiffrée,
+l'ouverture d'une boîte de dialogue pour entrer le mot de passe est
+forcée au démarrage du serveur.</p>
+<p>Cette directive peut être utilisée jusqu'à trois fois (pour
+référencer différents fichiers) lorsque des certificats de serveur basés
+sur RSA, DSA et ECC sont utilisés en parallèle. Notez que les paramètres
+DH et ECDH ne sont lus que par la première directive
+<directive>SSLCertificateFile</directive>.</p>
+
+<note>
+<title>Interopérabilité des paramètres DH avec les nombres premiers de
+plus de 1024 bits</title>
+<p>
+Depuis la version 2.4.7, mod_ssl utilise des
+paramètres DH standardisés avec des nombres premiers de 2048, 3072 et
+4096 bits (voir <a href="http://www.ietf.org/rfc/rfc3526.txt">RFC
+3526</a>), et les fournit aux clients en fonction de la longueur de la
+clé du certificat RSA/DSA. En particulier avec les clients basés sur
+Java (versions 7 et antérieures), ceci peut provoquer des erreurs au
+cours de la négociation - voir cette <a
+href="../ssl/ssl_faq.html#javadh">réponse de la FAQ SSL</a> pour
+contourner les problèmes de ce genre.
+</p>
+</note>
+
<example><title>Exemple</title>
<highlight language="config">
SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt
Modified: httpd/httpd/branches/2.4.x/docs/manual/ssl/ssl_faq.xml.fr
URL: http://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/docs/manual/ssl/ssl_faq.xml.fr?rev=1542523&r1=1542522&r2=1542523&view=diff
==============================================================================
--- httpd/httpd/branches/2.4.x/docs/manual/ssl/ssl_faq.xml.fr (original)
+++ httpd/httpd/branches/2.4.x/docs/manual/ssl/ssl_faq.xml.fr Sat Nov 16 15:09:46 2013
@@ -1,7 +1,7 @@
<?xml version="1.0" encoding="ISO-8859-1" ?>
<!DOCTYPE manualpage SYSTEM "../style/manualpage.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1420057:1542327 (outdated) -->
+<!-- English revision : 1542327 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
@@ -559,6 +559,10 @@ et mot de passe sont envoyés en c
<li><a href="#msie">Pourquoi des erreurs d'entrée/sortie apparaissent-elles
lorsqu'on se connecte à un serveur Apache+mod_ssl avec
Microsoft Internet Explorer (MSIE) ?</a></li>
+<li><a href="#srp">Comment activer TLS-SRP ?</a></li>
+<li><a href="#javadh">Pourquoi des erreurs de négociation apparaissent
+avec les clients basés sur Java lorsqu'on utilise un certificat de plus
+de 1024 bits ?</a></li>
</ul>
<section id="random"><title>Pourquoi de nombreuses et aléatoires erreurs de
@@ -808,6 +812,46 @@ SetEnvIf User-Agent "MSIE [2-5]" \
</example>
</section>
+<section id="javadh"><title>Pourquoi des erreurs de négociation apparaissent
+avec les clients basés sur Java lorsqu'on utilise un certificat de plus
+de 1024 bits ?</title>
+ <p>Depuis la version 2.4.7,
+ <module>mod_ssl</module> utilise des paramètres DH qui comportent
+ des nombres premiers de plus de 1024 bits. Cependant, java 7 et ses versions
+ antérieures ne supportent que les nombres premiers DH d'une longueur
+ maximale de 1024 bits.</p>
+
+ <p>Si votre client basé sur Java s'arrête avec une exception telle
+ que <code>java.lang.RuntimeException: Could not generate DH
+ keypair</code> et
+ <code>java.security.InvalidAlgorithmParameterException: Prime size
+ must be multiple of 64, and can only range from 512 to 1024
+ (inclusive)</code>, et si httpd enregistre le message <code>tlsv1
+ alert internal error (SSL alert number 80)</code> dans son journal
+ des erreurs (avec un <directive module="core">LogLevel</directive>
+ <code>info</code> ou supérieur), vous pouvez soit réarranger la
+ liste d'algorithmes de mod_ssl via la directive <directive
+ module="mod_ssl">SSLCipherSuite</directive> (éventuellement en
+ conjonction avec la directive <directive
+ module="mod_ssl">SSLHonorCipherOrder</directive>), soit utiliser la
+ directive <directive module="mod_ssl">SSLCertificateFile</directive>
+ pour configurer des paramètres DH personnalisés avec un nombre
+ premier de 1024 bits, paramètres qui seront toujours prioritaires
+ par rapport à tout autre paramètre DH par défaut.</p>
+
+ <p>Pour générer des paramètres DH personnalisés, utilisez la
+ commande <code>openssl dhparam</code>. Vous pouvez aussi ajouter les
+ paramètres DH standards issus de la <a
+ href="http://www.ietf.org/rfc/rfc2409.txt">RFC 2409</a>, section 6.2
+ au fichier <directive module="ssl">SSLCertificateFile</directive>
+ considéré :</p>
+ <example><pre>-----BEGIN DH PARAMETERS-----
+MIGHAoGBAP//////////yQ/aoiFowjTExmKLgNwc0SkCTgiKZ8x0Agu+pjsTmyJR
+Sgh5jjQE3e+VGbPNOkMbMCsKbfJfFDdP4TVtbVHCReSFtXZiXn7G9ExC6aY37WsL
+/1y29Aa37e44a/taiZ+lrp8kEXxLH+ZJKGZR7OZTgf//////////AgEC
+-----END DH PARAMETERS-----</pre></example>
+</section>
+
</section>
<!-- /aboutssl -->