<-
Apache > Serveur HTTP > Documentation > Version 2.4 > Modules

Module Apache mod_ssl

Langues Disponibles:  en  |  fr 

Description:Chiffrement de haut niveau bas´┐Ż sur les protocoles Secure Sockets Layer (SSL) et Transport Layer Security (TLS)
Statut:Extension
Identificateur´┐Żde´┐ŻModule:ssl_module
Fichier´┐ŻSource:mod_ssl.c

Sommaire

Ce module fournit le support SSL v3 et TLS v1 au serveur HTTP Apache. SSL v2 n'est plus support´┐Ż.

Ce module s'appuie sur OpenSSL pour fournir le moteur de chiffrement.

D'autres d´┐Żtails, discussions et exemples sont fournis dans la documentation SSL.

Directives

Sujets

top

Variables d'environnement

Ce module peut ´┐Żtre configur´┐Ż pour fournir aux espaces de nommage SSI et CGI de nombreux ´┐Żl´┐Żments d'informations concernant SSL par le biais de variables d'environnement suppl´┐Żmentaires. Par d´┐Żfaut, et pour des raisons de performances, ces informations ne sont pas fournies (Voir la directive SSLOptions StdEnvVars ci-dessous). Les variables g´┐Żn´┐Żr´┐Żes se trouvent dans la table ci-dessous. Ces informations peuvent ´┐Żgalement ´┐Żtre disponible sous des noms diff´┐Żrents ´┐Ż des fins de compatibilit´┐Ż ascendante. Reportez-vous au chapitre Compatibilit´┐Ż pour plus de d´┐Żtails ´┐Ż propos des variables de compatibilit´┐Ż.

Nom de la variable : Type de valeur : Description :
HTTPS drapeau HTTPS est utilis´┐Ż.
SSL_PROTOCOL cha´┐Żne La version du protocole SSL (SSLv3, TLSv1, TLSv1.1, TLSv1.2)
SSL_SESSION_ID cha´┐Żne L'identifiant de session SSL cod´┐Ż en hexad´┐Żcimal
SSL_SESSION_RESUMED cha´┐Żne Session SSL initiale ou reprise. Note : plusieurs requ´┐Żtes peuvent ´┐Żtre servies dans le cadre de la m´┐Żme session SSL (initiale ou reprise) si les connexions persistantes (HTTP KeepAlive) sont utilis´┐Żes
SSL_SECURE_RENEG cha´┐Żne true si la ren´┐Żgociation s´┐Żcuris´┐Że est support´┐Że, false dans le cas contraire
SSL_CIPHER cha´┐Żne Le nom de l'algorithme de chiffrement
SSL_CIPHER_EXPORT cha´┐Żne true si l'algorithme de chiffrement est un algorithme export´┐Ż
SSL_CIPHER_USEKEYSIZE nombre Nombre de bits de chiffrement (r´┐Żellement utilis´┐Żs)
SSL_CIPHER_ALGKEYSIZE nombre Nombre de bits de chiffrement (possible)
SSL_COMPRESS_METHOD cha´┐Żne M´┐Żthode de compression SSL n´┐Żgoci´┐Że
SSL_VERSION_INTERFACE cha´┐Żne La version du programme mod_ssl
SSL_VERSION_LIBRARY cha´┐Żne La version du programme OpenSSL
SSL_CLIENT_M_VERSION cha´┐Żne La version du certificat client
SSL_CLIENT_M_SERIAL cha´┐Żne Le num´┐Żro de s´┐Żrie du certificat client
SSL_CLIENT_S_DN cha´┐Żne Le DN sujet du certificat client
SSL_CLIENT_S_DN_x509 cha´┐Żne El´┐Żment du DN sujet du client
SSL_CLIENT_I_DN cha´┐Żne DN de l'´┐Żmetteur du certificat du client
SSL_CLIENT_I_DN_x509 cha´┐Żne El´┐Żment du DN de l'´┐Żmetteur du certificat du client
SSL_CLIENT_V_START cha´┐Żne Validit´┐Ż du certificat du client (date de d´┐Żbut)
SSL_CLIENT_V_END cha´┐Żne Validit´┐Ż du certificat du client (date de fin)
SSL_CLIENT_V_REMAIN cha´┐Żne Nombre de jours avant expiration du certificat du client
SSL_CLIENT_A_SIG cha´┐Żne Algorithme utilis´┐Ż pour la signature du certificat du client
SSL_CLIENT_A_KEY cha´┐Żne Algorithme utilis´┐Ż pour la cl´┐Ż publique du certificat du client
SSL_CLIENT_CERT cha´┐Żne Certificat du client au format PEM
SSL_CLIENT_CERT_CHAIN_n cha´┐Żne Certificats de la cha´┐Żne de certification du client au format PEM
SSL_CLIENT_VERIFY cha´┐Żne NONE, SUCCESS, GENEROUS ou FAILED:raison
SSL_SERVER_M_VERSION cha´┐Żne La version du certificat du serveur
SSL_SERVER_M_SERIAL cha´┐Żne The serial of the server certificate
SSL_SERVER_S_DN cha´┐Żne DN sujet du certificat du serveur
SSL_SERVER_S_DN_x509 cha´┐Żne El´┐Żment du DN sujet du certificat du serveur
SSL_SERVER_I_DN cha´┐Żne DN de l'´┐Żmetteur du certificat du serveur
SSL_SERVER_I_DN_x509 cha´┐Żne El´┐Żment du DN de l'´┐Żmetteur du certificat du serveur
SSL_SERVER_V_START cha´┐Żne Validit´┐Ż du certificat du serveur (date de d´┐Żdut)
SSL_SERVER_V_END cha´┐Żne Validit´┐Ż du certificat du serveur (date de fin)
SSL_SERVER_A_SIG cha´┐Żne Algorithme utilis´┐Ż pour la signature du certificat du serveur
SSL_SERVER_A_KEY cha´┐Żne Algorithme utilis´┐Ż pour la cl´┐Ż publique du certificat du serveur
SSL_SERVER_CERT cha´┐Żne Certificat du serveur au format PEM
SSL_SRP_USER cha´┐Żne nom d'utilisateur SRP
SSL_SRP_USERINFO cha´┐Żne informations sur l'utilisateur SRP
SSL_TLS_SNI string Contenu de l'extension SNI TLS (si support´┐Ż par ClientHello)

x509 sp´┐Żcifie un ´┐Żl´┐Żment de DN X.509 parmi C,ST,L,O,OU,CN,T,I,G,S,D,UID,Email. A partir de la version 2.1 d'Apache, x509 peut aussi comporter un suffixe num´┐Żrique _n. Si le DN en question comporte plusieurs attributs de noms identiques, ce suffixe constitue un index d´┐Żbutant ´┐Ż z´┐Żro et permettant de s´┐Żlectionner un attribut particulier. Par exemple, si le DN sujet du certificat du serveur comporte deux champs OU, on peut utiliser SSL_SERVER_S_DN_OU_0 et SSL_SERVER_S_DN_OU_1 pour r´┐Żf´┐Żrencer chacun d'entre eux. Un nom de variable sans suffixe _n est ´┐Żquivalent au m´┐Żme nom avec le suffixe _0, ce qui correspond au premier attribut (ou au seul) caract´┐Żrisant le DN. Lorsque la table d'environnement est remplie en utilisant l'option StdEnvVars de la directive SSLOptions, le premier attribut (ou le seul) caract´┐Żrisant le DN est enregistr´┐Ż avec un nom sans suffixe ; autrement dit, aucune entr´┐Że poss´┐Żdant comme suffixe _0 n'est enregistr´┐Że.

Le format des variables *_DN a chang´┐Ż depuis la version 2.3.11 d'Apache HTTPD. Voir l'option LegacyDNStringFormat de la directive SSLOptions pour plus de d´┐Żtails.

SSL_CLIENT_V_REMAIN n'est disponible qu'´┐Ż partir de la version 2.1.

Plusieurs variables d'environnement additionnelles peuvent ´┐Żtre utilis´┐Żes dans les expressions SSLRequire, ou dans les formats de journalisation personnalis´┐Żs :

HTTP_USER_AGENT        PATH_INFO             AUTH_TYPE
HTTP_REFERER           QUERY_STRING          SERVER_SOFTWARE
HTTP_COOKIE            REMOTE_HOST           API_VERSION
HTTP_FORWARDED         REMOTE_IDENT          TIME_YEAR
HTTP_HOST              IS_SUBREQ             TIME_MON
HTTP_PROXY_CONNECTION  DOCUMENT_ROOT         TIME_DAY
HTTP_ACCEPT            SERVER_ADMIN          TIME_HOUR
THE_REQUEST            SERVER_NAME           TIME_MIN
REQUEST_FILENAME       SERVER_PORT           TIME_SEC
REQUEST_METHOD         SERVER_PROTOCOL       TIME_WDAY
REQUEST_SCHEME         REMOTE_ADDR           TIME
REQUEST_URI            REMOTE_USER

Dans ces contextes, deux formats sp´┐Żciaux peuvent aussi ´┐Żtre utilis´┐Żs :

ENV:nom_variable
Correspond ´┐Ż la variable d'environnement standard nom_variable.
HTTP:nom_en-t´┐Żte
Correspond ´┐Ż la valeur de l'en-t´┐Żte de requ´┐Żte dont le nom est nom_en-t´┐Żte.
top

Formats de journaux personnalis´┐Żs

Lorsque mod_ssl est compil´┐Ż dans le serveur Apache ou m´┐Żme charg´┐Ż (en mode DSO), des fonctions suppl´┐Żmentaires sont disponibles pour le Format de journal personnalis´┐Ż du module mod_log_config. A ce titre, la fonction de format d'eXtension ``%{nom-var}x'' peut ´┐Żtre utilis´┐Że pour pr´┐Żsenter en extension toute variable fournie par tout module, et en particulier celles fournies par mod_ssl et que vous trouverez dans la table ci-dessus.

A des fins de compatibilit´┐Ż ascendante, il existe une fonction de format cryptographique suppl´┐Żmentaire ``%{nom}c''. Vous trouverez toutes les informations ´┐Ż propos de cette fonction dans le chapitre Compatibilit´┐Ż.

Exemple

CustomLog logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"
top

Information ´┐Ż propos de la requ´┐Żte

mod_ssl enregistre des informations ´┐Ż propos de la requ´┐Żte que l'on peut restituer dans les journaux avec la cha´┐Żne de format %{nom}n via le module mod_log_config.

Les informations enregistr´┐Żes sont les suivantes :

ssl-access-forbidden
Cette information contient la valeur 1 si l'acc´┐Żs a ´┐Żt´┐Ż refus´┐Ż suite ´┐Ż une directive SSLRequire ou SSLRequireSSL.
ssl-secure-reneg
Si mod_ssl a ´┐Żt´┐Ż compil´┐Ż avec une version d'OpenSSL qui supporte la ren´┐Żgociation s´┐Żcuris´┐Że, si SSL est utilis´┐Ż pour la connexion courante et si le client supporte lui aussi la ren´┐Żgociation s´┐Żcuris´┐Że, cette information contiendra la valeur 1. Si le client ne supporte pas la ren´┐Żgociation s´┐Żcuris´┐Że, l'information contiendra la valeur 0. Si mod_ssl n'a pas ´┐Żt´┐Ż compil´┐Ż avec une version d'OpenSSL qui supporte la ren´┐Żgociation s´┐Żcuris´┐Że, ou si SSL n'est pas utilis´┐Ż pour la connexion courante, le contenu de l'information ne sera pas d´┐Żfini.
top

Fournisseurs d'autorisation disponibles avec Require

mod_ssl propose quelques fournisseurs d'autorisation ´┐Ż utiliser avec la directive Require du module mod_authz_core.

Require ssl

Le fournisseur ssl refuse l'acc´┐Żs si une connexion n'est pas chiffr´┐Że avec SSL. L'effet est similaire ´┐Ż celui de la directive SSLRequireSSL.

Require ssl

Require ssl-verify-client

Le fournisseur ssl autorise l'acc´┐Żs si l'utilisateur est authentifi´┐Ż via un certificat client valide. Ceci n'a un effet que si SSLVerifyClient optional est actif.

Dans l'exemple suivant, l'acc´┐Żs est autoris´┐Ż si le client est authentifi´┐Ż via un certificat client ou par nom d'utilisateur/mot de passe :

      Require ssl-verify-client
Require valid-user
top

SSLCACertificateFile Directive

Description:Fichier contenant une concat´┐Żnation des certificats de CA cod´┐Żs en PEM pour l'authentification des clients
Syntaxe:SSLCACertificateFile chemin-fichier
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le fichier tout-en-un o´┐Ż vous pouvez rassembler les certificats des Autorit´┐Żs de Certification (CAs) pour les clients auxquels vous avez ´┐Ż faire. On les utilise pour l'authentification des clients. Un tel fichier contient la simple concat´┐Żnation des diff´┐Żrents fichiers de certificats cod´┐Żs en PEM, par ordre de pr´┐Żf´┐Żrence. Cette directive peut ´┐Żtre utilis´┐Że ´┐Ż la place et/ou en compl´┐Żment de la directive SSLCACertificatePath.

Exemple

SSLCACertificateFile /usr/local/apache2/conf/ssl.crt/ca-bundle-client.crt
top

SSLCACertificatePath Directive

Description:R´┐Żpertoire des certificats de CA cod´┐Żs en PEM pour l'authentification des clients
Syntaxe:SSLCACertificatePath chemin-r´┐Żpertoire
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le r´┐Żpertoire o´┐Ż sont stock´┐Żs les certificats des Autorit´┐Żs de Certification (CAs) pour les clients auxquels vous avez ´┐Ż faire. On les utilise pour v´┐Żrifier le certificat du client au cours de l'authentification de ce dernier.

Les fichiers de ce r´┐Żpertoire doivent ´┐Żtre cod´┐Żs en PEM et ils sont acc´┐Żd´┐Żs via des noms de fichier sous forme de condens´┐Żs ou hash. Il ne suffit donc pas de placer les fichiers de certificats dans ce r´┐Żpertoire : vous devez aussi cr´┐Żer des liens symboliques nomm´┐Żs valeur-de-hashage.N, et vous devez toujours vous assurer que ce r´┐Żpertoire contient les liens symboliques appropri´┐Żs.

Exemple

SSLCACertificatePath /usr/local/apache2/conf/ssl.crt/
top

SSLCADNRequestFile Directive

Description:Fichier contenant la concat´┐Żnation des certificats de CA cod´┐Żs en PEM pour la d´┐Żfinition de noms de CA acceptables
Syntaxe:SSLCADNRequestFile chemin-fichier
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Lorsque mod_ssl demande un certificat client, une liste de noms d'Autorit´┐Żs de Certification acceptables est envoy´┐Że au client au cours de la phase d'initialisation de la connexion SSL. Le client peut alors utiliser cette liste de noms de CA pour s´┐Żlectionner un certificat client appropri´┐Ż parmi ceux dont il dispose.

Si aucune des directives SSLCADNRequestPath ou SSLCADNRequestFile n'est d´┐Żfinie, la liste de noms de CsA acceptables envoy´┐Że au client est la liste des noms de tous les certificats de CA sp´┐Żcifi´┐Żs par les directives SSLCACertificateFile et SSLCACertificatePath ; en d'autres termes, c'est la liste des noms de CAs qui sera effectivement utilis´┐Że pour v´┐Żrifier le certificat du client.

Dans certaines situations, il est utile de pouvoir envoyer une liste de noms de CA acceptables qui diff´┐Żre de la liste des CAs effectivement utilis´┐Żs pour v´┐Żrifier le certificat du client ; consid´┐Żrons par exemple le cas o´┐Ż le certificat du client est sign´┐Ż par des CAs interm´┐Żdiaires. On peut ici utiliser les directives SSLCADNRequestPath et/ou SSLCADNRequestFile, et les noms de CA acceptables seront alors extraits de l'ensemble des certificats contenus dans le r´┐Żpertoire et/ou le fichier d´┐Żfinis par cette paire de directives.

SSLCADNRequestFile doit sp´┐Żcifier un fichier tout-en-un contenant une concat´┐Żnation des certificats de CA cod´┐Żs en PEM.

Exemple

SSLCADNRequestFile /usr/local/apache2/conf/ca-names.crt
top

SSLCADNRequestPath Directive

Description:R´┐Żpertoire contenant des fichiers de certificats de CA cod´┐Żs en PEM pour la d´┐Żfinition de noms de CA acceptables
Syntaxe:SSLCADNRequestPath chemin-r´┐Żpertoire
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive optionnelle permet de d´┐Żfinir la liste de noms de CAs acceptables qui sera envoy´┐Że au client lorsqu'un certificat de client est demand´┐Ż. Voir la directive SSLCADNRequestFile pour plus de d´┐Żtails.

Les fichiers de ce r´┐Żpertoire doivent ´┐Żtre cod´┐Żs en PEM et ils sont acc´┐Żd´┐Żs via des noms de fichier sous forme de condens´┐Żs ou hash. Il ne suffit donc pas de placer les fichiers de certificats dans ce r´┐Żpertoire : vous devez aussi cr´┐Żer des liens symboliques nomm´┐Żs valeur-de-hashage.N, et vous devez toujours vous assurer que ce r´┐Żpertoire contient les liens symboliques appropri´┐Żs.

Exemple

SSLCADNRequestPath /usr/local/apache2/conf/ca-names.crt/
top

SSLCARevocationCheck Directive

Description:Active la v´┐Żrification des r´┐Żvocations bas´┐Że sur les CRL
Syntaxe:SSLCARevocationCheck chain|leaf|none
D´┐Żfaut:SSLCARevocationCheck none
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Active la v´┐Żrification des r´┐Żvocations bas´┐Że sur les Listes de R´┐Żvocations de Certificats (CRL). Au moins une des directives SSLCARevocationFile ou SSLCARevocationPath doit ´┐Żtre d´┐Żfinie. Lorsque cette directive est d´┐Żfinie ´┐Ż chain (valeur recommand´┐Że), les v´┐Żrifications CRL sont effectu´┐Żes sur tous les certificats de la cha´┐Żne, alors que la valeur leaf limite la v´┐Żrification au certificat hors cha´┐Żne (la feuille).

Lorsque la directive est d´┐Żfinie ´┐Ż chain ou leaf, les CRLs doivent ´┐Żtre disponibles pour que la validation r´┐Żussisse

Avant la version 2.3.15, les v´┐Żrifications CRL dans mod_ssl r´┐Żussissaient m´┐Żme si aucune CRL n'´┐Żtait trouv´┐Że dans les chemins d´┐Żfinis par les directives SSLCARevocationFile ou SSLCARevocationPath. Le comportement a chang´┐Ż avec l'introduction de cette directive : lorsque la v´┐Żrification est activ´┐Że, les CRLs doivent ´┐Żtre pr´┐Żsentes pour que la validation r´┐Żussisse ; dans le cas contraire, elle ´┐Żchouera avec une erreur "CRL introuvable".

Exemple

SSLCARevocationCheck chain
top

SSLCARevocationFile Directive

Description:Fichier contenant la concat´┐Żnation des CRLs des CA cod´┐Żs en PEM pour l'authentification des clients
Syntaxe:SSLCARevocationFile chemin-fichier
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le fichier tout-en-un o´┐Ż sont rassembl´┐Żes les Listes de R´┐Żvocation de Certificats (CRLs) des Autorit´┐Żs de certification (CAs) pour les clients auxquels vous avez ´┐Ż faire. On les utilise pour l'authentification des clients. Un tel fichier contient la simple concat´┐Żnation des diff´┐Żrents fichiers de CRLs cod´┐Żs en PEM, dans l'ordre de pr´┐Żf´┐Żrence. Cette directive peut ´┐Żtre utilis´┐Że ´┐Ż la place et/ou en compl´┐Żment de la directive SSLCARevocationPath.

Exemple

SSLCARevocationFile /usr/local/apache2/conf/ssl.crl/ca-bundle-client.crl
top

SSLCARevocationPath Directive

Description:R´┐Żpertoire des CRLs de CA cod´┐Żs en PEM pour l'authentification des clients
Syntaxe:SSLCARevocationPath chemin-r´┐Żpertoire
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le r´┐Żpertoire o´┐Ż sont stock´┐Żes les Listes de R´┐Żvocation de Certificats (CRL) des Autorit´┐Żs de Certification (CAs) pour les clients auxquels vous avez ´┐Ż faire. On les utilise pour r´┐Żvoquer les certificats des clients au cours de l'authentification de ces derniers.

Les fichiers de ce r´┐Żpertoire doivent ´┐Żtre cod´┐Żs en PEM et ils sont acc´┐Żd´┐Żs via des noms de fichier sous forme de condens´┐Żs ou hash. Il ne suffit donc pas de placer les fichiers de CRL dans ce r´┐Żpertoire : vous devez aussi cr´┐Żer des liens symboliques nomm´┐Żs valeur-de-hashage.N, et vous devez toujours vous assurer que ce r´┐Żpertoire contient les liens symboliques appropri´┐Żs.

Exemple

SSLCARevocationPath /usr/local/apache2/conf/ssl.crl/
top

SSLCertificateChainFile Directive

Description:Fichier contenant les certificats de CA du serveur cod´┐Żs en PEM
Syntaxe:SSLCertificateChainFile chemin-fichier
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

SSLCertificateChainFile est obsol´┐Żte

SSLCertificateChainFile est devenue obsol´┐Żte avec la version 2.4.8, lorsque la directive SSLCertificateFile a ´┐Żt´┐Ż ´┐Żtendue pour supporter aussi les certificats de CA interm´┐Żdiaires dans le fichier de certificats du serveur.

Cette directive permet de d´┐Żfinir le fichier optionnel tout-en-un o´┐Ż vous pouvez rassembler les certificats des Autorit´┐Żs de Certification (CA) qui forment la cha´┐Żne de certification du certificat du serveur. Cette cha´┐Żne d´┐Żbute par le certificat de la CA qui a d´┐Żlivr´┐Ż le certificat du serveur et peut remonter jusqu'au certificat de la CA racine. Un tel fichier contient la simple concat´┐Żnation des diff´┐Żrents certificats de CA cod´┐Żs en PEM, en g´┐Żn´┐Żral dans l'ordre de la cha´┐Żne de certification.

Elle doit ´┐Żtre utilis´┐Że ´┐Ż la place et/ou en compl´┐Żment de la directive SSLCACertificatePath pour construire explicitement la cha´┐Żne de certification du serveur qui est envoy´┐Że au navigateur en plus du certificat du serveur. Elle s'av´┐Żre particuli´┐Żrement utile pour ´┐Żviter les conflits avec les certificats de CA lorsqu'on utilise l'authentification du client. Comme le fait de placer un certificat de CA de la cha´┐Żne de certification du serveur dans la directive SSLCACertificatePath produit le m´┐Żme effet pour la construction de la cha´┐Żne de certification, cette directive a pour effet colat´┐Żral de faire accepter les certificats clients fournis par cette m´┐Żme CA, au cours de l'authentification du client.

Soyez cependant prudent : fournir la cha´┐Żne de certification ne fonctionne que si vous utilisez un simple certificat de serveur RSA ou DSA. Si vous utilisez une paire de certificats coupl´┐Żs RSA+DSA , cela ne fonctionnera que si les deux certificats utilisent vraiment la m´┐Żme cha´┐Żne de certification. Dans le cas contraire, la confusion risque de s'installer au niveau des navigateurs.

Exemple

SSLCertificateChainFile /usr/local/apache2/conf/ssl.crt/ca.crt
top

SSLCertificateFile Directive

Description:Fichier de donn´┐Żes contenant le certificat X.509 du serveur cod´┐Ż en PEM
Syntaxe:SSLCertificateFile chemin-fichier
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le fichier de donn´┐Żes contenant les informations de certificat X.509 du serveur cod´┐Żes au format PEM. Ce fichier doit contenir au minimum un certificat d'entit´┐Ż finale (feuille). Depuis la version 2.4.8, il peut aussi contenir des certificats de CA interm´┐Żdiaires tri´┐Żs des feuilles ´┐Ż la racine, ainsi que des SSLCertificateChainFile (obsol´┐Żtes).

Des ´┐Żl´┐Żments additionnels peuvent ´┐Żtre pr´┐Żsents, comme des param´┐Żtres DH et/ou le nom EC curve pour les cl´┐Żs eph´┐Żm´┐Żres, respectivement g´┐Żn´┐Żr´┐Żs par openssl dhparam et openssl ecparam (support´┐Ż ´┐Ż partir de la version 2.4.7), et enfin la cl´┐Ż priv´┐Że du certificat d'entit´┐Ż finale. Si la cl´┐Ż priv´┐Że est chiffr´┐Że, une bo´┐Żte de dialogue demandant le mot de passe s'ouvre au d´┐Żmarrage.

Cette directive peut ´┐Żtre utilis´┐Że plusieurs fois pour r´┐Żf´┐Żrencer diff´┐Żrents noms de fichiers, afin de supporter plusieurs algorithmes pour l'authentification du serveur - en g´┐Żn´┐Żral RSA, DSA et ECC. Le nombre d'algorithmes support´┐Żs d´┐Żpend de la version d'OpenSSL utilis´┐Że pour mod_ssl : ´┐Ż partir de la version 1.0.0, la commande openssl list-public-key-algorithms renvoie la liste de ces algorithmes.

A partir de la version 1.0.2 d'OpenSSL, cette directive permet de configurer la cha´┐Żne de certification en fonction du certificat, ce qui supprime une limitation de la directive obsol´┐Żte SSLCertificateChainFile. Cependant, les param´┐Żtres DH et ECDH ne sont lus que depuis la premi´┐Żre directive SSLCertificateFile car ils s'appliquent ind´┐Żpendamment du type d'algorithme d'authentification.

Interop´┐Żrabilit´┐Ż des param´┐Żtres DH avec les nombres premiers de plus de 1024 bits

Depuis la version 2.4.7, mod_ssl utilise des param´┐Żtres DH standardis´┐Żs avec des nombres premiers de 2048, 3072 et 4096 bits, et avec des nombres premiers de 6144 et 8192 bits depuis la version 2.4.10 (voir RFC 3526), et les fournit aux clients en fonction de la longueur de la cl´┐Ż du certificat RSA/DSA. En particulier avec les clients bas´┐Żs sur Java (versions 7 et ant´┐Żrieures), ceci peut provoquer des erreurs au cours de la n´┐Żgociation - voir cette r´┐Żponse de la FAQ SSL pour contourner les probl´┐Żmes de ce genre.

Exemple

SSLCertificateFile /usr/local/apache2/conf/ssl.crt/server.crt
top

SSLCertificateKeyFile Directive

Description:Fichier contenant la cl´┐Ż priv´┐Że du serveur cod´┐Że en PEM
Syntaxe:SSLCertificateKeyFile chemin-fichier
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le fichier contenant la cl´┐Ż priv´┐Że du serveur cod´┐Że en PEM (la cl´┐Ż priv´┐Że peut ´┐Żtre associ´┐Że au certificat dans le fichier d´┐Żfini par la directive SSLCertificateFile, mais cette pratique est d´┐Żconseill´┐Że). Si la cl´┐Ż priv´┐Że est chiffr´┐Że, une bo´┐Żte de dialogue demandant le mot de passe s'ouvre au d´┐Żmarrage.

Cette directive peut ´┐Żtre utilis´┐Że plusieurs fois pour r´┐Żf´┐Żrencer diff´┐Żrents noms de fichiers, afin de supporter plusieurs algorithmes pour l'authentification du serveur. A chaque directive SSLCertificateKeyFile doit ´┐Żtre associ´┐Że une directive SSLCertificateFile correspondante.

Exemple

SSLCertificateKeyFile /usr/local/apache2/conf/ssl.key/server.key
top

SSLCipherSuite Directive

Description:Algorithmes de chiffrement disponibles pour la n´┐Żgociation au cours de l'initialisation de la connexion SSL
Syntaxe:SSLCipherSuite algorithmes
D´┐Żfaut:SSLCipherSuite DEFAULT (d´┐Żpend de la version d'OpenSSL install´┐Że)
Contexte:configuration du serveur, serveur virtuel, r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_ssl

Cette directive complexe utilise la cha´┐Żne algorithmes contenant la liste des algorithmes de chiffrement OpenSSL que le client peut utiliser au cours de la phase d'initialisation de la connexion SSL. Notez que cette directive peut ´┐Żtre utilis´┐Że aussi bien dans un contexte de serveur que dans un contexte de r´┐Żpertoire. Dans un contexte de serveur, elle s'applique ´┐Ż l'initialisation SSL standard lorsqu'une connexion est ´┐Żtablie. Dans un contexte de r´┐Żpertoire, elle force une ren´┐Żgociation SSL avec la liste d'algorithmes de chiffrement sp´┐Żcifi´┐Że apr´┐Żs la lecture d'une requ´┐Żte HTTP, mais avant l'envoi de la r´┐Żponse HTTP.

La liste d'algorithmes de chiffrement SSL sp´┐Żcifi´┐Że par l'argument algorithmes comporte quatre attributs principaux auxquels s'ajoutent quelques attributs secondaires :

L'algorithme de chiffrement peut aussi provenir de l'ext´┐Żrieur. Les algorithmes SSLv2 ne sont plus support´┐Żs. Pour d´┐Żfinir les algorithmes ´┐Ż utiliser, on peut soit sp´┐Żcifier tous les algorithmes ´┐Ż la fois, soit utiliser des alias pour sp´┐Żcifier une liste d'algorithmes dans leur ordre de pr´┐Żf´┐Żrence (voir Table 1). Les algorithmes et alias effectivement disponibles d´┐Żpendent de la version d'openssl utilis´┐Że. Les versions ult´┐Żrieures d'openssl inclueront probablement des algorithmes suppl´┐Żmentaires.

Symbole Description
Algorithme d'´┐Żchange de cl´┐Żs :
kRSA Echange de cl´┐Żs RSA
kDHr Echange de cl´┐Żs Diffie-Hellman avec cl´┐Ż RSA
kDHd Echange de cl´┐Żs Diffie-Hellman avec cl´┐Ż DSA
kEDH Echange de cl´┐Żs Diffie-Hellman temporaires (pas de certificat)
kSRP ´┐Żchange de cl´┐Żs avec mot de passe distant s´┐Żcuris´┐Ż (SRP)
Algorithmes d'authentification :
aNULL Pas d'authentification
aRSA Authentification RSA
aDSS Authentification DSS
aDH Authentification Diffie-Hellman
Algorithmes de chiffrement :
eNULL Pas de chiffrement
NULL alias pour eNULL
AES Chiffrement AES
DES Chiffrement DES
3DES Chiffrement Triple-DES
RC4 Chiffrement RC4
RC2 Chiffrement RC2
IDEA Chiffrement IDEA
Algorithmes de condens´┐Żs MAC :
MD5 Fonction de hashage MD5
SHA1 Fonction de hashage SHA1
SHA alias pour SHA1
SHA256 >Fonction de hashage SHA256
SHA384 >Fonction de hashage SHA384
Alias :
SSLv3 tous les algorithmes de chiffrement SSL version 3.0
TLSv1 tous les algorithmes de chiffrement TLS version 1.0
EXP tous les algorithmes de chiffrement externes
EXPORT40 tous les algorithmes de chiffrement externes limit´┐Żs ´┐Ż 40 bits
EXPORT56 tous les algorithmes de chiffrement externes limit´┐Żs ´┐Ż 56 bits
LOW tous les algorithmes de chiffrement faibles (non externes, DES simple)
MEDIUM tous les algorithmes avec chiffrement 128 bits
HIGH tous les algorithmes utilisant Triple-DES
RSA tous les algorithmes utilisant l'´┐Żchange de cl´┐Żs RSA
DH tous les algorithmes utilisant l'´┐Żchange de cl´┐Żs Diffie-Hellman
EDH tous les algorithmes utilisant l'´┐Żchange de cl´┐Żs Diffie-Hellman temporaires
ECDH ´┐Żchange de cl´┐Żs Elliptic Curve Diffie-Hellman
ADH tous les algorithmes utilisant l'´┐Żchange de cl´┐Żs Diffie-Hellman anonymes
AECDH tous les algorithmes utilisant l'´┐Żchange de cl´┐Żs Elliptic Curve Diffie-Hellman
SRP tous les algorithmes utilisant l'´┐Żchange de cl´┐Żs avec mot de passe distant s´┐Żcuris´┐Ż (SRP)
DSS tous les algorithmes utilisant l'authentification DSS
ECDSA tous les algorithmes utilisant l'authentification ECDSA
aNULL tous les algorithmes n'utilisant aucune authentification

Cela devient int´┐Żressant lorsque tous ces symboles sont combin´┐Żs ensemble pour sp´┐Żcifier les algorithmes disponibles et l'ordre dans lequel vous voulez les utiliser. Pour simplifier tout cela, vous disposez aussi d'alias (SSLv3, TLSv1, EXP, LOW, MEDIUM, HIGH) pour certains groupes d'algorithmes. Ces symboles peuvent ´┐Żtre reli´┐Żs par des pr´┐Żfixes pour former la cha´┐Żne algorithmes. Les pr´┐Żfixes disponibles sont :

Les algorithmes aNULL, eNULL et EXP sont toujours d´┐Żsactiv´┐Żs

Depuis la version 2.4.7, les algorithmes de type null ou destin´┐Żs ´┐Ż l'exportation sont toujours d´┐Żsactiv´┐Żs car mod_ssl fait obligatoirement pr´┐Żc´┐Żder toute cha´┐Żne de suite d'algorithmes par !aNULL:!eNULL:!EXP: ´┐Ż l'initialisation.

Pour vous simplifier la vie, vous pouvez utiliser la commande ``openssl ciphers -v'' qui vous fournit un moyen simple de cr´┐Żer la cha´┐Żne algorithmes avec succ´┐Żs. La cha´┐Żne algorithmes par d´┐Żfaut d´┐Żpend de la version des biblioth´┐Żques SSL install´┐Żes. Supposons qu'elle contienne ``RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5'', ce qui stipule de mettre RC4-SHA et AES128-SHA en premiers, car ces algorithmes pr´┐Żsentent un bon compromis entre vitesse et s´┐Żcurit´┐Ż. Viennent ensuite les algorithmes de s´┐Żcurit´┐Ż ´┐Żlev´┐Że et moyenne. En fin de compte, les algorithmes qui n'offrent aucune authentification sont exclus, comme les algorithmes anonymes Diffie-Hellman pour SSL, ainsi que tous les algorithmes qui utilisent MD5 pour le hashage, car celui-ci est reconnu comme insuffisant.

$ openssl ciphers -v 'RC4-SHA:AES128-SHA:HIGH:MEDIUM:!aNULL:!MD5'
RC4-SHA                 SSLv3 Kx=RSA      Au=RSA  Enc=RC4(128)  Mac=SHA1
AES128-SHA              SSLv3 Kx=RSA      Au=RSA  Enc=AES(128)  Mac=SHA1
DHE-RSA-AES256-SHA      SSLv3 Kx=DH       Au=RSA  Enc=AES(256)  Mac=SHA1
...                     ...               ...     ...           ...
SEED-SHA                SSLv3 Kx=RSA      Au=RSA  Enc=SEED(128) Mac=SHA1
PSK-RC4-SHA             SSLv3 Kx=PSK      Au=PSK  Enc=RC4(128)  Mac=SHA1
KRB5-RC4-SHA            SSLv3 Kx=KRB5     Au=KRB5 Enc=RC4(128)  Mac=SHA1

Vous trouverez la liste compl´┐Żte des algorithmes RSA & DH sp´┐Żcifiques ´┐Ż SSL dans la Table 2.

Exemple

SSLCipherSuite RSA:!EXP:!NULL:+HIGH:+MEDIUM:-LOW
Symbole algorithme Protocole Echange de cl´┐Żs Authentification Chiffrement Condens´┐Ż MAC Type
Algorithmes RSA :
DES-CBC3-SHA SSLv3 RSA RSA 3DES(168) SHA1
IDEA-CBC-SHA SSLv3 RSA RSA IDEA(128) SHA1
RC4-SHA SSLv3 RSA RSA RC4(128) SHA1
RC4-MD5 SSLv3 RSA RSA RC4(128) MD5
DES-CBC-SHA SSLv3 RSA RSA DES(56) SHA1
EXP-DES-CBC-SHA SSLv3 RSA(512) RSA DES(40) SHA1 export
EXP-RC2-CBC-MD5 SSLv3 RSA(512) RSA RC2(40) MD5 export
EXP-RC4-MD5 SSLv3 RSA(512) RSA RC4(40) MD5 export
NULL-SHA SSLv3 RSA RSA None SHA1
NULL-MD5 SSLv3 RSA RSA None MD5
Algorithmes Diffie-Hellman :
ADH-DES-CBC3-SHA SSLv3 DH None 3DES(168) SHA1
ADH-DES-CBC-SHA SSLv3 DH None DES(56) SHA1
ADH-RC4-MD5 SSLv3 DH None RC4(128) MD5
EDH-RSA-DES-CBC3-SHA SSLv3 DH RSA 3DES(168) SHA1
EDH-DSS-DES-CBC3-SHA SSLv3 DH DSS 3DES(168) SHA1
EDH-RSA-DES-CBC-SHA SSLv3 DH RSA DES(56) SHA1
EDH-DSS-DES-CBC-SHA SSLv3 DH DSS DES(56) SHA1
EXP-EDH-RSA-DES-CBC-SHA SSLv3 DH(512) RSA DES(40) SHA1 export
EXP-EDH-DSS-DES-CBC-SHA SSLv3 DH(512) DSS DES(40) SHA1 export
EXP-ADH-DES-CBC-SHA SSLv3 DH(512) None DES(40) SHA1 export
EXP-ADH-RC4-MD5 SSLv3 DH(512) None RC4(40) MD5 export
top

SSLCompression Directive

Description:Permet d'activer la compression au niveau SSL
Syntaxe:SSLCompression on|off
D´┐Żfaut:SSLCompression off
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible ´┐Ż partir de la version 2.4.3 du serveur HTTP Apache, si on utilise une version d'OpenSSL 0.9.8 ou sup´┐Żrieure ; l'utilisation dans un contexte de serveur virtuel n'est disponible que si on utilise une version d'OpenSSL 1.0.0 ou sup´┐Żrieure. La valeur par d´┐Żfaut ´┐Żtait on dans la version 2.4.3.

Cette directive permet d'activer la compression au niveau SSL.

L'activation de la compression est ´┐Ż l'origine de probl´┐Żmes de s´┐Żcurit´┐Ż dans la plupart des configurations (l'attaque nomm´┐Że CRIME).

top

SSLCryptoDevice Directive

Description:Active l'utilisation d'un acc´┐Żl´┐Żrateur mat´┐Żriel de chiffrement
Syntaxe:SSLCryptoDevice moteur
D´┐Żfaut:SSLCryptoDevice builtin
Contexte:configuration du serveur
Statut:Extension
Module:mod_ssl

Cette directive permet d'activer l'utilisation d'une carte acc´┐Żl´┐Żratrice de chiffrement qui prendra en compte certaines parties du traitement relatif ´┐Ż SSL. Cette directive n'est utilisable que si la bo´┐Żte ´┐Ż outils SSL ´┐Ż ´┐Żt´┐Ż compil´┐Że avec le support "engine" ; les versions 0.9.7 et sup´┐Żrieures d'OpenSSL poss´┐Żdent par d´┐Żfaut le support "engine", alors qu'avec la version 0.9.6, il faut utiliser les distributions s´┐Żpar´┐Żes "-engine".

Pour d´┐Żterminer les moteurs support´┐Żs, ex´┐Żcutez la commande "openssl engine".

Exemple

# Pour un acc´┐Żl´┐Żrateur Broadcom :
SSLCryptoDevice ubsec
top

SSLEngine Directive

Description:Interrupteur marche/arr´┐Żt du moteur SSL
Syntaxe:SSLEngine on|off|optional
D´┐Żfaut:SSLEngine off
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet d'activer/d´┐Żsactiver le moteur du protocole SSL/TLS. Elle doit ´┐Żtre utilis´┐Że dans une section <VirtualHost> pour activer SSL/TLS pour ce serveur virtuel particulier. Par d´┐Żfaut, le moteur du protocole SSL/TLS est d´┐Żsactiv´┐Ż pour le serveur principal et tous les serveurs virtuels configur´┐Żs.

Exemple

<VirtualHost _default_:443>
SSLEngine on
#...
</VirtualHost>

Depuis la version 2.1 d'Apache, la directive SSLEngine peut ´┐Żtre d´┐Żfinie ´┐Ż optional, ce qui active le support de RFC 2817, Upgrading to TLS Within HTTP/1.1. Pour le moment, aucun navigateur web ne supporte RFC 2817.

top

SSLFIPS Directive

Description:Coimmutateur du mode SSL FIPS
Syntaxe:SSLFIPS on|off
D´┐Żfaut:SSLFIPS off
Contexte:configuration du serveur
Statut:Extension
Module:mod_ssl

Cette directive permet d'activer/d´┐Żsactiver l'utilisation du drapeau FIPS_mode de la biblioth´┐Żque SSL. Elle doit ´┐Żtre d´┐Żfinie dans le contexte du serveur principal, et n'accepte pas les configurations sources de conflits (SSLFIPS on suivi de SSLFIPS off par exemple). Le mode s'applique ´┐Ż toutes les op´┐Żrations de la biblioth´┐Żque SSL.

Si httpd a ´┐Żt´┐Ż compil´┐Ż avec une biblioth´┐Żque SSL qui ne supporte pas le drapeau FIPS_mode, la directive SSLFIPS on ´┐Żchouera. Reportez-vous au document sur la politique de s´┐Żcurit´┐Ż FIPS 140-2 de la biblioth´┐Żque du fournisseur SSL, pour les pr´┐Żrequis sp´┐Żcifiques n´┐Żcessaires ´┐Ż l'utilisation de mod_ssl selon un mode d'op´┐Żration approuv´┐Ż par FIPS 140-2 ; notez que mod_ssl en lui-m´┐Żme n'est pas valid´┐Ż, mais peut ´┐Żtre d´┐Żcrit comme utilisant un module de chiffrement valid´┐Ż par FIPS 140-2, lorsque tous les composants sont assembl´┐Żs et mis en oeuvre selon les recommandations de la politique de s´┐Żcurit´┐Ż applicable.

top

SSLHonorCipherOrder Directive

Description:Option permettant de classer les algorithmes de chiffrement du serveur par ordre de pr´┐Żf´┐Żrence
Syntaxe:SSLHonorCipherOrder on|off
D´┐Żfaut:SSLHonorCipherOrder off
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Normalement, ce sont les pr´┐Żf´┐Żrences du client qui sont prises en compte lors du choix d'un algorithme de chiffrement au cours d'une n´┐Żgociation SSLv3 ou TLSv1. Si cette directive est activ´┐Że, ce sont les pr´┐Żf´┐Żrences du serveur qui seront prises en compte ´┐Ż la place.

Exemple

SSLHonorCipherOrder on
top

SSLInsecureRenegotiation Directive

Description:Option permettant d'activer le support de la ren´┐Żgociation non s´┐Żcuris´┐Że
Syntaxe:SSLInsecureRenegotiation on|off
D´┐Żfaut:SSLInsecureRenegotiation off
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible depuis httpd 2.2.15, si une version 0.9.8m ou sup´┐Żrieure d'OpenSSL est utilis´┐Że

Comme il a ´┐Żt´┐Ż sp´┐Żcifi´┐Ż, toutes les versions des protocoles SSL et TLS (jusqu'´┐Ż la version 1.2 de TLS incluse) ´┐Żtaient vuln´┐Żrables ´┐Ż une attaque de type Man-in-the-Middle (CVE-2009-3555) au cours d'une ren´┐Żgociation. Cette vuln´┐Żrabilit´┐Ż permettait ´┐Ż un attaquant de pr´┐Żfixer la requ´┐Żte HTTP (telle qu'elle ´┐Żtait vue du serveur) avec un texte choisi. Une extension du protocole a ´┐Żt´┐Ż d´┐Żvelopp´┐Że pour corriger cette vuln´┐Żrabilit´┐Ż, sous r´┐Żserve qu'elle soit support´┐Że par le client et le serveur.

Si mod_ssl est li´┐Ż ´┐Ż une version 0.9.8m ou sup´┐Żrieure d'OpenSSL, par d´┐Żfaut, la ren´┐Żgociation n'est accord´┐Że qu'aux clients qui supportent la nouvelle extension du protocole. Si cette directive est activ´┐Że, la ren´┐Żgociation sera accord´┐Że aux anciens clients (non patch´┐Żs), quoique de mani´┐Żre non s´┐Żcuris´┐Że

Avertissement ´┐Ż propos de la s´┐Żcurit´┐Ż

Si cette directive est activ´┐Że, les connexions SSL seront vuln´┐Żrables aux attaques de type pr´┐Żfixe Man-in-the-Middle comme d´┐Żcrit dans CVE-2009-3555.

Exemple

SSLInsecureRenegotiation on

La variable d'environnement SSL_SECURE_RENEG peut ´┐Żtre utilis´┐Że dans un script SSI ou CGI pour d´┐Żterminer si la ren´┐Żgociation s´┐Żcuris´┐Że est support´┐Że pour une connexion SSL donn´┐Że.

top

SSLOCSPDefaultResponder Directive

Description:D´┐Żfinit l'URI du r´┐Żpondeur par d´┐Żfaut pour la validation OCSP
Syntaxe:SSLOCSDefaultResponder uri
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le r´┐Żpondeur OCSP par d´┐Żfaut. Si la directive SSLOCSPOverrideResponder n'est pas activ´┐Że, l'URI sp´┐Żcifi´┐Ż ne sera utilis´┐Ż que si aucun URI de r´┐Żpondeur n'est sp´┐Żcifi´┐Ż dans le certificat en cours de v´┐Żrification.

top

SSLOCSPEnable Directive

Description:Active la validation OCSP de la cha´┐Żne de certificats du client
Syntaxe:SSLOCSPEnable on|off
D´┐Żfaut:SSLOCSPEnable off
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet d'activer la validation OCSP de la cha´┐Żne de certificats du client. Si elle est activ´┐Że, les certificats de la cha´┐Żne de certificats du client seront valid´┐Żs aupr´┐Żs d'un r´┐Żpondeur OCSP, une fois la v´┐Żrification normale effectu´┐Że (v´┐Żrification des CRLs incluse).

Le r´┐Żpondeur OCSP utilis´┐Ż est soit extrait du certificat lui-m´┐Żme, soit sp´┐Żcifi´┐Ż dans la configuration ; voir les directives SSLOCSPDefaultResponder et SSLOCSPOverrideResponder.

Exemple

SSLVerifyClient on
SSLOCSPEnable on
SSLOCSPDefaultResponder http://responder.example.com:8888/responder
SSLOCSPOverrideResponder on
top

SSLOCSPOverrideResponder Directive

Description:Force l'utilisation de l'URI du r´┐Żpondeur par d´┐Żfaut pour la validation OCSP
Syntaxe:SSLOCSPOverrideResponder on|off
D´┐Żfaut:SSLOCSPOverrideResponder off
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Force l'utilisation, au cours d'une validation OCSP de certificat, du r´┐Żpondeur OCSP par d´┐Żfaut sp´┐Żcifi´┐Ż dans la configuration, que le certificat en cours de v´┐Żrification fasse mention d'un r´┐Żpondeur OCSP ou non.

top

SSLOCSPResponderTimeout Directive

Description:D´┐Żlai d'attente pour les requ´┐Żtes OCSP
Syntaxe:SSLOCSPResponderTimeout secondes
D´┐Żfaut:SSLOCSPResponderTimeout 10
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette option permet de d´┐Żfinir le d´┐Żlai d'attente pour les requ´┐Żtes ´┐Ż destination des r´┐Żpondeurs OCSP, lorsque la directive SSLOCSPEnable est ´┐Ż on.

top

SSLOCSPResponseMaxAge Directive

Description:Age maximum autoris´┐Ż pour les r´┐Żponses OCSP
Syntaxe:SSLOCSPResponseMaxAge secondes
D´┐Żfaut:SSLOCSPResponseMaxAge -1
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette option permet de d´┐Żfinir l'´┐Żge maximum autoris´┐Ż (la "fraicheur") des r´┐Żponses OCSP. La valeur par d´┐Żfault (-1) signifie qu'aucun ´┐Żge maximum n'est d´┐Żfini ; autrement dit, les r´┐Żponses OCSP sont consid´┐Żr´┐Żes comme valides tant que la valeur de leur champ nextUpdate se situe dans le futur.

top

SSLOCSPResponseTimeSkew Directive

Description:D´┐Żrive temporelle maximale autoris´┐Że pour la validation des r´┐Żponses OCSP
Syntaxe:SSLOCSPResponseTimeSkew secondes
D´┐Żfaut:SSLOCSPResponseTimeSkew 300
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette option permet de d´┐Żfinir la d´┐Żrive temporelle maximale autoris´┐Że pour les r´┐Żponses OCSP (lors de la v´┐Żrification des champs thisUpdate et nextUpdate).

top

SSLOCSPUseRequestNonce Directive

Description:Use a nonce within OCSP queries
Syntaxe:SSLOCSPUseRequestNonce on|off
D´┐Żfaut:SSLOCSPUseRequestNonce on
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Available in httpd 2.4.10 and later

La documentation de cette directive n'a pas encore t traduite. Veuillez vous reporter la version en langue anglaise.

top

SSLOpenSSLConfCmd Directive

Description:Configuration des param´┐Żtres d'OpenSSL via son API SSL_CONF
Syntaxe:SSLOpenSSLConfCmd commande valeur
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible depuis la version 2.4.8 du serveur HTTP Apache avec OpenSSL 1.0.2 ou sup´┐Żrieur

Cette directive permet ´┐Ż mod_ssl d'acc´┐Żder ´┐Ż l'API SSL_CONF d'OpenSSL. Il n'est ainsi plus n´┐Żcessaire d'impl´┐Żmenter des directives suppl´┐Żmentaires pour mod_ssl lorsque de nouvelles fonctionnalit´┐Żs sont ajout´┐Żes ´┐Ż OpenSSL, ce qui rend la configuration de ce dernier beaucoup plus souple.

Le jeu de commandes disponibles pour la directive SSLOpenSSLConfCmd d´┐Żpend de la version d'OpenSSL utilis´┐Że pour mod_ssl (la version minimale 1.0.2 est un pr´┐Żrequis). Pour obtenir la liste des commandes support´┐Żes, voir la section Supported configuration file commands de la page de manuel SSL_CONF_cmd(3) d'OpenSSL.

Certaines commandes peuvent remplacer des directives existantes (comme SSLCipherSuite ou SSLProtocol) ; notez cependant que la syntaxe et/ou les valeurs possibles peuvent diff´┐Żrer.

Examples

SSLOpenSSLConfCmd Options -SessionTicket,ServerPreference
SSLOpenSSLConfCmd ECDHParameters brainpoolP256r1
SSLOpenSSLConfCmd ServerInfoFile /usr/local/apache2/conf/server-info.pem
SSLOpenSSLConfCmd Protocol "-ALL, TLSv1.2"
SSLOpenSSLConfCmd SignatureAlgorithms RSA+SHA384:ECDSA+SHA256
top

SSLOptions Directive

Description:Configure diff´┐Żrentes options d'ex´┐Żcution du moteur SSL
Syntaxe:SSLOptions [+|-]option ...
Contexte:configuration du serveur, serveur virtuel, r´┐Żpertoire, .htaccess
AllowOverride:Options
Statut:Extension
Module:mod_ssl

Cette directive permet de contr´┐Żler diff´┐Żrentes options d'ex´┐Żcution du moteur SSL dans un contexte de r´┐Żpertoire. Normalement, si plusieurs SSLOptions peuvent s'appliquer ´┐Ż un r´┐Żpertoire, c'est la plus sp´┐Żcifique qui est v´┐Żritablement prise en compte ; les options ne se combinent pas entre elles. Elles se combinent cependant entre elles si elles sont toutes pr´┐Żc´┐Żd´┐Żes par un symbole plus (+) ou moins (-). Toute option pr´┐Żc´┐Żd´┐Że d'un + est ajout´┐Że aux options actuellement en vigueur, et toute option pr´┐Żc´┐Żd´┐Że d'un - est supprim´┐Że de ces m´┐Żmes options.

Les options disponibles sont :

Exemple

SSLOptions +FakeBasicAuth -StrictRequire
<Files ~ "\.(cgi|shtml)$">
    SSLOptions +StdEnvVars -ExportCertData
<Files>
top

SSLPassPhraseDialog Directive

Description:M´┐Żthode utilis´┐Że pour entrer le mot de passe pour les cl´┐Żs priv´┐Żes chiffr´┐Żes
Syntaxe:SSLPassPhraseDialog type
D´┐Żfaut:SSLPassPhraseDialog builtin
Contexte:configuration du serveur
Statut:Extension
Module:mod_ssl

Lors de son d´┐Żmarrage, Apache doit lire les diff´┐Żrents fichiers de certificats (voir la directive SSLCertificateFile) et de cl´┐Żs priv´┐Żes (voir la directive SSLCertificateKeyFile) des serveurs virtuels o´┐Ż SSL est activ´┐Ż. Comme, pour des raisons de s´┐Żcurit´┐Ż, les fichiers de cl´┐Żs priv´┐Żes sont en g´┐Żn´┐Żral chiffr´┐Żs, mod_ssl doit demander ´┐Ż l'administrateur un mot de passe pour d´┐Żchiffrer ces fichiers. L'argument type permet de choisir la mani´┐Żre dont cette demande peut ´┐Żtre formul´┐Że parmi les trois suivantes :

Exemple

SSLPassPhraseDialog exec:/usr/local/apache/sbin/pp-filter
top

SSLProtocol Directive

Description:Indique les versions du protocole SSL/TLS disponibles
Syntaxe:SSLProtocol [+|-]protocole ...
D´┐Żfaut:SSLProtocol all
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir quelles versions du protocole SSL/TLS seront accept´┐Żes lors de l'initialisation d'une nouvelle connexion.

Les protocoles disponibles sont les suivants (sensibles ´┐Ż la casse) :

Exemple

SSLProtocol TLSv1
top

SSLProxyCACertificateFile Directive

Description:Fichier contenant la concat´┐Żnation des certificats de CA cod´┐Żs en PEM pour l'authentification des serveurs distants
Syntaxe:SSLProxyCACertificateFile file-path
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le fichier tout-en-un o´┐Ż sont stock´┐Żs les certificats des Autorit´┐Żs de Certification (CA) pour les serveurs distants auxquels vous avez ´┐Ż faire. On les utilise lors de l'authentification du serveur distant. Un tel fichier contient la simple concat´┐Żnation des diff´┐Żrents fichiers de certificats cod´┐Żs en PEM, class´┐Żs par ordre de pr´┐Żf´┐Żrence. On peut utiliser cette directive ´┐Ż la place et/ou en compl´┐Żment de la directive SSLProxyCACertificatePath.

Exemple

SSLProxyCACertificateFile
/usr/local/apache2/conf/ssl.crt/ca-bundle-serveur.distant.crt
top

SSLProxyCACertificatePath Directive

Description:R´┐Żpertoire des certificats de CA cod´┐Żs en PEM pour l'authentification des serveurs distants
Syntaxe:SSLProxyCACertificatePath chemin-r´┐Żpertoire
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet de sp´┐Żcifier le r´┐Żpertoire o´┐Ż sont stock´┐Żs les certificats des Autorit´┐Żs de Certification (CAs) pour les serveurs distants auxquels vous avez ´┐Ż faire. On les utilise pour v´┐Żrifier le certificat du serveur distant lors de l'authentification de ce dernier.

Les fichiers de ce r´┐Żpertoire doivent ´┐Żtre cod´┐Żs en PEM et ils sont acc´┐Żd´┐Żs via des noms de fichier sous forme de condens´┐Żs ou hash. Il ne suffit donc pas de placer les fichiers de certificats dans ce r´┐Żpertoire : vous devez aussi cr´┐Żer des liens symboliques nomm´┐Żs valeur-de-hashage.N, et vous devez toujours vous assurer que ce r´┐Żpertoire contient les liens symboliques appropri´┐Żs.

Exemple

SSLProxyCACertificatePath /usr/local/apache2/conf/ssl.crt/
top

SSLProxyCARevocationCheck Directive

Description:Active la v´┐Żrification des r´┐Żvocations bas´┐Że sur les CRLs pour l'authentification du serveur distant
Syntaxe:SSLProxyCARevocationCheck chain|leaf|none
D´┐Żfaut:SSLProxyCARevocationCheck none
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Active la v´┐Żrification des r´┐Żvocations bas´┐Że sur les Listes de r´┐Żvocations de Certificats (CRL) pour les serveurs distants auxquels vous vous connectez. A moins une des directives SSLProxyCARevocationFile ou SSLProxyCARevocationPath doit ´┐Żtre d´┐Żfinie. Lorsque cette directive est d´┐Żfinie ´┐Ż chain (valeur recommand´┐Że), les v´┐Żrifications CRL sont effectu´┐Żes sur tous les certificats de la cha´┐Żne, alors que la valeur leaf limite la v´┐Żrification au certificat hors cha´┐Żne (la feuille).

Lorsque la directive est d´┐Żfinie ´┐Ż chain ou leaf, les CRLs doivent ´┐Żtre disponibles pour que la validation r´┐Żussisse

Avant la version 2.3.15, les v´┐Żrifications CRL dans mod_ssl r´┐Żussissaient m´┐Żme si aucune CRL n'´┐Żtait trouv´┐Że dans les chemins d´┐Żfinis par les directives SSLProxyCARevocationFile ou SSLProxyCARevocationPath. Le comportement a chang´┐Ż avec l'introduction de cette directive : lorsque la v´┐Żrification est activ´┐Że, les CRLs doivent ´┐Żtre pr´┐Żsentes pour que la validation r´┐Żussisse ; dans le cas contraire, elle ´┐Żchouera avec une erreur "CRL introuvable".

Exemple

SSLProxyCARevocationCheck chain
top

SSLProxyCARevocationFile Directive

Description:Fichier contenant la concat´┐Żnation des CRLs de CA cod´┐Żs en PEM pour l'authentification des serveurs distants
Syntaxe:SSLProxyCARevocationFile chemin-fichier
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le fichier tout-en-un o´┐Ż sont rassembl´┐Żes les Listes de R´┐Żvocation de Certificats (CRLs) des Autorit´┐Żs de certification (CAs) pour les serveurs distants auxquels vous avez ´┐Ż faire. On les utilise pour l'authentification des serveurs distants. Un tel fichier contient la simple concat´┐Żnation des diff´┐Żrents fichiers de CRLs cod´┐Żs en PEM, class´┐Żs par ordre de pr´┐Żf´┐Żrence. Cette directive peut ´┐Żtre utilis´┐Że ´┐Ż la place et/ou en compl´┐Żment de la directive SSLProxyCARevocationPath.

Exemple

SSLProxyCARevocationFile
/usr/local/apache2/conf/ssl.crl/ca-bundle-serveur.distant.crl
top

SSLProxyCARevocationPath Directive

Description:R´┐Żpertoire des CRLs de CA cod´┐Żs en PEM pour l'authentification des serveurs distants
Syntaxe:SSLProxyCARevocationPath chemin-r´┐Żpertoire
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le r´┐Żpertoire o´┐Ż sont stock´┐Żes les Listes de R´┐Żvocation de Certificats (CRL) des Autorit´┐Żs de Certification (CAs) pour les serveurs distants auxquels vous avez ´┐Ż faire. On les utilise pour r´┐Żvoquer les certificats des serveurs distants au cours de l'authentification de ces derniers.

Les fichiers de ce r´┐Żpertoire doivent ´┐Żtre cod´┐Żs en PEM et ils sont acc´┐Żd´┐Żs via des noms de fichier sous forme de condens´┐Żs ou hash. Il ne suffit donc pas de placer les fichiers de CRL dans ce r´┐Żpertoire : vous devez aussi cr´┐Żer des liens symboliques nomm´┐Żs valeur-de-hashage.rN, et vous devez toujours vous assurer que ce r´┐Żpertoire contient les liens symboliques appropri´┐Żs.

Exemple

SSLProxyCARevocationPath /usr/local/apache2/conf/ssl.crl/
top

SSLProxyCheckPeerCN Directive

Description:Configuration de la v´┐Żrification du champ CN du certificat du serveur distant
Syntaxe:SSLProxyCheckPeerCN on|off
D´┐Żfaut:SSLProxyCheckPeerCN on
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir si le champ CN du certificat du serveur distant doit ´┐Żtre compar´┐Ż au nom de serveur de l'URL de la requ´┐Żte. S'ils ne correspondent pas, un code d'´┐Żtat 502 (Bad Gateway) est envoy´┐Ż.

A partir de la version 2.4.5, SSLProxyCheckPeerCN a ´┐Żt´┐Ż remplac´┐Ż par SSLProxyCheckPeerName, et sa d´┐Żfinition n'est prise en compte que si SSLProxyCheckPeerName off a ´┐Żt´┐Ż sp´┐Żcifi´┐Ż.

Exemple

SSLProxyCheckPeerCN on
top

SSLProxyCheckPeerExpire Directive

Description:Configuration de la v´┐Żrification de l'expiration du certificat du serveur distant
Syntaxe:SSLProxyCheckPeerExpire on|off
D´┐Żfaut:SSLProxyCheckPeerExpire on
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir si l'expiration du certificat du serveur distant doit ´┐Żtre v´┐Żrifi´┐Że ou non. Si la v´┐Żrification ´┐Żchoue, un code d'´┐Żtat 502 (Bad Gateway) est envoy´┐Ż.

Exemple

SSLProxyCheckPeerExpire on
top

SSLProxyCheckPeerName Directive

Description:Configure la v´┐Żrification du nom d'h´┐Żte dans les certificats serveur distants
Syntaxe:SSLProxyCheckPeerName on|off
D´┐Żfaut:SSLProxyCheckPeerName on
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible ´┐Ż partir de la version 2.4.5 du serveur HTTP Apache

Cette directive permet de configurer la v´┐Żrification du nom d'h´┐Żte dans les certificats de serveur lorsque mod_ssl agit en tant que client SSL. La v´┐Żrification est concluante si le nom d'h´┐Żte de l'URI de la requ´┐Żte correspond soit ´┐Ż l'extension subjectAltName, soit ´┐Ż l'un des attributs CN dans le sujet du certificat. Si la v´┐Żrification ´┐Żchoue, la requ´┐Żte SSL est annul´┐Że et un code d'erreur 502 (Bad Gateway) est renvoy´┐Ż. Cette directive remplace la directive SSLProxyCheckPeerCN qui ne prenait en compte que le premier attribut CN pour la v´┐Żrification du nom d'h´┐Żte.

La v´┐Żrification du nom d'h´┐Żte avec caract´┐Żres g´┐Żn´┐Żrique est support´┐Że de la mani´┐Żre suivante : les entr´┐Żes subjectAltName de type dNSName ou les attributs CN commen´┐Żant par *. correspondront ´┐Ż tout nom DNS comportant le m´┐Żme nombre d'´┐Żl´┐Żments et le m´┐Żme suffixe (par exemple, *.example.org correspondra ´┐Ż foo.example.org, mais pas ´┐Ż foo.bar.example.org).

top

SSLProxyCipherSuite Directive

Description:Algorithmes de chiffrement disponibles pour la n´┐Żgociation lors de l'initialisation d'une connexion SSL de mandataire
Syntaxe:SSLProxyCipherSuite algorithmes
D´┐Żfaut:SSLProxyCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP
Contexte:configuration du serveur, serveur virtuel, r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_ssl

Cette directive est ´┐Żquivalente ´┐Ż la directive SSLCipherSuite, mais s'applique ´┐Ż une connexion de mandataire. Veuillez vous reporter ´┐Ż la directive SSLCipherSuite pour plus d'informations.

top

SSLProxyEngine Directive

Description:Interrupteur marche/arr´┐Żt du moteur de mandataire SSL
Syntaxe:SSLProxyEngine on|off
D´┐Żfaut:SSLProxyEngine off
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Cette directive permet d'activer/d´┐Żsactiver l'utilisation du moteur de protocole SSL/TLS pour le mandataire. On l'utilise en g´┐Żn´┐Żral ´┐Ż l'int´┐Żrieur d'une section <VirtualHost> pour activer le protocole SSL/TLS dans le cadre d'un mandataire pour un serveur virtuel particulier. Par d´┐Żfaut, le moteur de protocole SSL/TLS est d´┐Żsactiv´┐Ż pour la fonction de mandataire du serveur principal et de tous les serveurs virtuels configur´┐Żs.

Notez que la directive SSLProxyEngine ne doit g´┐Żn´┐Żralement pas ´┐Żtre utilis´┐Że dans le cadre d'un serveur virtuel qui agit en tant que mandataire direct (via les directives <Proxy> ou <ProxyRequest>). SSLProxyEngine n'est pas n´┐Żcessaire pour activer un serveur mandataire direct pour les requ´┐Żtes SSL/TLS.

Exemple

<VirtualHost _default_:443>
    SSLProxyEngine on
    #...
</VirtualHost>
top

SSLProxyMachineCertificateChainFile Directive

Description:Fichier de certificats de CA encod´┐Żs PEM concat´┐Żn´┐Żs permettant au mandataire de choisir un certificat
Syntaxe:SSLProxyMachineCertificateChainFile nom-fichier
Contexte:configuration du serveur
AllowOverride:Sans objet
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le fichier global o´┐Ż est enregistr´┐Że la cha´┐Żne de certification pour tous les certificats clients utilis´┐Żs. Elle est n´┐Żcessaire si le serveur distant pr´┐Żsente une liste de certificats de CA qui ne sont pas les signataires directs d'un des certificats clients configur´┐Żs.

Ce fichier contient tout simplement la concat´┐Żnation des diff´┐Żrents fichiers de certificats encod´┐Żs PEM. Au d´┐Żmarrage, chaque certificat client configur´┐Ż est examin´┐Ż et une cha´┐Żne de certification est construite.

Avertissement en mati´┐Żre de s´┐Żcurit´┐Ż

Si cette directive est d´┐Żfinie, tous les certificats contenus dans le fichier sp´┐Żcifi´┐Ż seront consid´┐Żr´┐Żs comme ´┐Żtant de confiance, comme s'ils ´┐Żtaient aussi d´┐Żsign´┐Żs dans la directive SSLProxyCACertificateFile.

Exemple

SSLProxyMachineCertificateChainFile /usr/local/apache2/conf/ssl.crt/proxyCA.pem
top

SSLProxyMachineCertificateFile Directive

Description:Fichier contenant la concat´┐Żnation des cl´┐Żs et certificats clients cod´┐Żs en PEM que le mandataire doit utiliser
Syntaxe:SSLProxyMachineCertificateFile chemin-fichier
Contexte:configuration du serveur
AllowOverride:Sans objet
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le fichier tout-en-un o´┐Ż sont stock´┐Żs les cl´┐Żs et certificats permettant au serveur mandataire de s'authentifier aupr´┐Żs des serveurs distants.

Le fichier sp´┐Żcifi´┐Ż est la simple concat´┐Żnation des diff´┐Żrents fichiers de certificats cod´┐Żs en PEM, class´┐Żs par ordre de pr´┐Żf´┐Żrence. Cette directive s'utilise ´┐Ż la place ou en compl´┐Żment de la directive SSLProxyMachineCertificatePath.

Actuellement, les cl´┐Żs priv´┐Żes chiffr´┐Żes ne sont pas support´┐Żes.

Exemple

SSLProxyMachineCertificateFile /usr/local/apache2/conf/ssl.crt/proxy.pem
top

SSLProxyMachineCertificatePath Directive

Description:R´┐Żpertoire des cl´┐Żs et certificats clients cod´┐Żs en PEM que le mandataire doit utiliser
Syntaxe:SSLProxyMachineCertificatePath chemin-r´┐Żpertoire
Contexte:configuration du serveur
AllowOverride:Sans objet
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le r´┐Żpertoire o´┐Ż sont stock´┐Żs les cl´┐Żs et certificats permettant au serveur mandataire de s'authentifier aupr´┐Żs des serveurs distants.

Les fichiers de ce r´┐Żpertoire doivent ´┐Żtre cod´┐Żs en PEM et ils sont acc´┐Żd´┐Żs via des noms de fichier sous forme de condens´┐Żs ou hash. Vous devez donc aussi cr´┐Żer des liens symboliques nomm´┐Żs valeur-de-hashage.N, et vous devez toujours vous assurer que ce r´┐Żpertoire contient les liens symboliques appropri´┐Żs.

Actuellement, les cl´┐Żs priv´┐Żes chiffr´┐Żes ne sont pas support´┐Żes.

Exemple

SSLProxyMachineCertificatePath /usr/local/apache2/conf/proxy.crt/
top

SSLProxyProtocol Directive

Description:D´┐Żfinit les protocoles SSL disponibles pour la fonction de mandataire
Syntaxe:SSLProxyProtocol [+|-]protocole ...
D´┐Żfaut:SSLProxyProtocol all
Contexte:configuration du serveur, serveur virtuel
AllowOverride:Options
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir les protocoles SSL que mod_ssl peut utiliser lors de l'´┐Żlaboration de son environnement de serveur pour la fonction de mandataire. Il ne se connectera qu'aux serveurs utilisant un des protocoles sp´┐Żcifi´┐Żs.

Veuillez vous reporter ´┐Ż la directive SSLProtocol pour plus d'informations.

top

SSLProxyVerify Directive

Description:Niveau de v´┐Żrification du certificat du serveur distant
Syntaxe:SSLProxyVerify niveau
D´┐Żfaut:SSLProxyVerify none
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl

Lorsqu'un mandataire est configur´┐Ż pour faire suivre les requ´┐Żtes vers un serveur SSL distant, cette directive permet de configurer la v´┐Żrification du certificat de ce serveur distant.

Les valeurs de niveaux disponibles sont les suivantes :

En pratique, seuls les niveaux none et require sont vraiment int´┐Żressants, car le niveau optional ne fonctionne pas avec tous les serveurs, et le niveau optional_no_ca va tout ´┐Ż fait ´┐Ż l'encontre de l'id´┐Że que l'on peut se faire de l'authentification (mais peut tout de m´┐Żme ´┐Żtre utilis´┐Ż pour ´┐Żtablir des pages de test SSL, etc...).

Exemple

SSLProxyVerify require
top

SSLProxyVerifyDepth Directive

Description:Niveau de profondeur maximum dans les certificats de CA lors de la v´┐Żrification du certificat du serveur distant
Syntaxe:SSLProxyVerifyDepth niveau
D´┐Żfaut:SSLProxyVerifyDepth 1
Contexte:configuration du serveur, serveur virtuel
AllowOverride:AuthConfig
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le niveau de profondeur maximum jusqu'auquel mod_ssl doit aller au cours de sa v´┐Żrification avant de d´┐Żcider que le serveur distant ne poss´┐Żde pas de certificat valide.

La profondeur correspond en fait au nombre maximum de fournisseurs de certificats interm´┐Żdiaires, c'est ´┐Ż dire le nombre maximum de certificats de CA que l'on peut consulter lors de la v´┐Żrification du certificat du serveur distant. Une profondeur de 0 signifie que seuls les certificats de serveurs distants auto-sign´┐Żs sont accept´┐Żs, et la profondeur par d´┐Żfaut de 1 que le certificat du serveur distant peut ´┐Żtre soit auto-sign´┐Ż, soit sign´┐Ż par une CA connue directement du serveur (en d'autres termes, le certificat de CA est r´┐Żf´┐Żrenc´┐Ż par la directive SSLProxyCACertificatePath), etc...

Exemple

SSLProxyVerifyDepth 10
top

SSLRandomSeed Directive

Description:Source de d´┐Żclenchement du G´┐Żn´┐Żrateur de Nombres Pseudo-Al´┐Żatoires (PRNG)
Syntaxe:SSLRandomSeed contexte source [nombre]
Contexte:configuration du serveur
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir une ou plusieurs sources de d´┐Żclenchement du G´┐Żn´┐Żrateur de Nombres Pseudo-Al´┐Żatoires (PRNG) dans OpenSSL au d´┐Żmarrage du serveur (si contexte a pour valeur startup) et/ou juste avant l'´┐Żtablissement d'une nouvelle connexion SSL (si contexte a pour valeur connect). Cette directive ne peut ´┐Żtre utilis´┐Że qu'au niveau du serveur global car le PRNG est un service global.

Les diff´┐Żrentes valeurs de source disponibles sont :

Exemple

SSLRandomSeed startup builtin
SSLRandomSeed startup file:/dev/random
SSLRandomSeed startup file:/dev/urandom 1024
SSLRandomSeed startup exec:/usr/local/bin/truerand 16
SSLRandomSeed connect builtin
SSLRandomSeed connect file:/dev/random
SSLRandomSeed connect file:/dev/urandom 1024
top

SSLRenegBufferSize Directive

Description:D´┐Żfinit la taille du tampon de ren´┐Żgociation SSL
Syntaxe:SSLRenegBufferSize taille
D´┐Żfaut:SSLRenegBufferSize 131072
Contexte:r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_ssl

Si une ren´┐Żgociation SSL est requise dans un contexte de r´┐Żpertoire, par exemple avec l'utilisation de SSLVerifyClient dans un bloc Directory ou Location, mod_ssl doit mettre en tampon en m´┐Żmoire tout corps de requ´┐Żte HTTP en attendant qu'une nouvelle initialisation de connexion SSL puisse ´┐Żtre effectu´┐Że. Cette directive permet de d´┐Żfinir la quantit´┐Ż de m´┐Żmoire ´┐Ż allouer pour ce tampon.

Notez que dans de nombreuses configurations, le client qui envoie un corps de requ´┐Żte n'est pas forc´┐Żment digne de confiance, et l'on doit par cons´┐Żquent prendre en consid´┐Żration la possibilit´┐Ż d'une attaque de type d´┐Żni de service lorsqu'on modifie la valeur de cette directive.

Exemple

SSLRenegBufferSize 262144
top

SSLRequire Directive

Description:N'autorise l'acc´┐Żs que lorsqu'une expression bool´┐Żenne complexe et arbitraire est vraie
Syntaxe:SSLRequire expression
Contexte:r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_ssl

SSLRequire est obsol´┐Żte

SSLRequire est obsol´┐Żte et doit en g´┐Żn´┐Żral ´┐Żtre remplac´┐Że par l'expression Require. La syntaxe ap_expr de l'expression Require est une extension de la syntaxe de SSLRequire, avec les diff´┐Żrences suivantes :

Avec SSLRequire, les op´┐Żrateurs de comparaison <, <=, ... sont strictement ´┐Żquivalents aux op´┐Żrateurs lt, le, ... , et fonctionnent selon une m´┐Żthode qui compare tout d'abord la longueur des deux cha´┐Żnes, puis l'ordre alphab´┐Żtique. Les expressions ap_expr, quant ´┐Ż elles, poss´┐Żdent deux jeux d'op´┐Żrateurs de comparaison : les op´┐Żrateurs <, <=, ... effectuent une comparaison alphab´┐Żtique de cha´┐Żnes, alors que les op´┐Żrateurs -lt, -le, ... effectuent une comparaison d'entiers. Ces derniers poss´┐Żdent aussi des alias sans tiret initial : lt, le, ...

Cette directive permet de sp´┐Żcifier une condition g´┐Żn´┐Żrale d'acc´┐Żs qui doit ´┐Żtre enti´┐Żrement satisfaite pour que l'acc´┐Żs soit autoris´┐Ż. C'est une directive tr´┐Żs puissante, car la condition d'acc´┐Żs sp´┐Żcifi´┐Że est une expression bool´┐Żenne complexe et arbitraire contenant un nombre quelconque de v´┐Żrifications quant aux autorisations d'acc´┐Żs.

L'expression doit respecter la syntaxe suivante (fournie ici sous la forme d'une notation dans le style de la grammaire BNF) :

expr     ::= "true" | "false"
           | "!" expr
           | expr "&&" expr
           | expr "||" expr
           | "(" expr ")"
           | comp

comp     ::= word "==" word | word "eq" word
           | word "!=" word | word "ne" word
           | word "<"  word | word "lt" word
           | word "<=" word | word "le" word
           | word ">"  word | word "gt" word
           | word ">=" word | word "ge" word
           | word "in" "{" wordlist "}"
           | word "in" "PeerExtList(" word ")"
           | word "=~" regex
           | word "!~" regex

wordlist ::= word
           | wordlist "," word

word     ::= digit
           | cstring
           | variable
           | function

digit    ::= [0-9]+
cstring  ::= "..."
variable ::= "%{" varname "}"
function ::= funcname "(" funcargs ")"

Pour varname, toute variable d´┐Żcrite dans Variables d'environnement pourra ´┐Żtre utilis´┐Że. Pour funcname, vous trouverez la liste des fonctions disponibles dans la documentation ap_expr.

expression est interpr´┐Żt´┐Że et traduite sous une forme machine interne lors du chargement de la configuration, puis ´┐Żvalu´┐Że lors du traitement de la requ´┐Żte. Dans le contexte des fichiers .htaccess, expression est interpr´┐Żt´┐Że et ex´┐Żcut´┐Że chaque fois que le fichier .htaccess intervient lors du traitement de la requ´┐Żte.

Exemple

SSLRequire (    %{SSL_CIPHER} !~ m/^(EXP|NULL)-/                   \
            and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd."          \
            and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"}    \
            and %{TIME_WDAY} -ge 1 and %{TIME_WDAY} -le 5          \
            and %{TIME_HOUR} -ge 8 and %{TIME_HOUR} -le 20       ) \
           or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/

La fonction PeerExtList(identifiant objet) recherche une instance d'extension de certificat X.509 identifi´┐Że par identifiant objet (OID) dans le certificat client. L'expression est ´┐Żvalu´┐Że ´┐Ż true si la partie gauche de la cha´┐Żne correspond exactement ´┐Ż la valeur d'une extension identifi´┐Że par cet OID (Si plusieurs extensions poss´┐Żdent le m´┐Żme OID, l'une d'entre elles au moins doit correspondre).

Exemple

SSLRequire "foobar" in PeerExtList("1.2.3.4.5.6")

Notes ´┐Ż propos de la fonction PeerExtList

  • L'identifiant objet peut ´┐Żtre sp´┐Żcifi´┐Ż soit comme un nom descriptif reconnu par la biblioth´┐Żque SSL, tel que "nsComment", soit comme un OID num´┐Żrique tel que "1.2.3.4.5.6".

  • Les expressions contenant des types connus de la biblioth´┐Żque SSL sont transform´┐Żes en cha´┐Żnes avant comparaison. Pour les extensions contenant un type non connu de la biblioth´┐Żque SSL, mod_ssl va essayer d'interpr´┐Żter la valeur s'il s'agit d'un des types ASN.1 primaires UTF8String, IA5String, VisibleString, ou BMPString. Si l'extension correspond ´┐Ż un de ces types, la cha´┐Żne sera convertie en UTF-8 si n´┐Żcessaire, puis compar´┐Że avec la partie gauche de l'expression.

Voir aussi

top

SSLRequireSSL Directive

Description:Interdit l'acc´┐Żs lorsque la requ´┐Żte HTTP n'utilise pas SSL
Syntaxe:SSLRequireSSL
Contexte:r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_ssl

Cette directive interdit l'acc´┐Żs si HTTP sur SSL (c'est ´┐Ż dire HTTPS) n'est pas activ´┐Ż pour la connexion courante. Ceci est tr´┐Żs pratique dans un serveur virtuel o´┐Ż SSL est activ´┐Ż ou dans un r´┐Żpertoire pour se prot´┐Żger des erreurs de configuration qui pourraient donner acc´┐Żs ´┐Ż des ressources prot´┐Żg´┐Żes. Lorsque cette directive est pr´┐Żsente, toutes les requ´┐Żtes qui n'utilisent pas SSL sont rejet´┐Żes.

Exemple

SSLRequireSSL
top

SSLSessionCache Directive

Description:Type du cache de session SSL global et inter-processus
Syntaxe:SSLSessionCache type
D´┐Żfaut:SSLSessionCache none
Contexte:configuration du serveur
Statut:Extension
Module:mod_ssl

Cette directive permet de configurer le type de stockage du cache de session SSL global et inter-processus. Ce cache est une fonctionnalit´┐Ż optionnelle qui acc´┐Żl´┐Żre le traitement parall´┐Żle des requ´┐Żtes. Pour ce qui est des requ´┐Żtes vers un m´┐Żme processus du serveur (via HTTP keep-alive), OpenSSL met en cache les informations de session SSL en interne. Mais comme les clients modernes demandent des images en ligne et d'autres donn´┐Żes via des requ´┐Żtes parall´┐Żles (un nombre de quatre requ´┐Żtes parall´┐Żles est courant), ces requ´┐Żtes vont ´┐Żtre servies par plusieurs processus du serveur pr´┐Ż-d´┐Żclench´┐Żs. Ici, un cache inter-processus permet d'´┐Żviter des n´┐Żgociations de session inutiles.

Les quatre types de stockage suivants sont actuellement support´┐Żs :

Exemples

SSLSessionCache dbm:/usr/local/apache/logs/ssl_gcache_data
SSLSessionCache shmcb:/usr/local/apache/logs/ssl_gcache_data(512000)

Le mutex ssl-cache permet de s´┐Żrialiser l'acc´┐Żs au cache de session afin d'´┐Żviter toute corruption. Ce mutex peut ´┐Żtre configur´┐Ż via la directive Mutex.

top

SSLSessionCacheTimeout Directive

Description:Nombre de secondes avant l'expiration d'une session SSL dans le cache de sessions
Syntaxe:SSLSessionCacheTimeout secondes
D´┐Żfaut:SSLSessionCacheTimeout 300
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:S'applique aussi ´┐Ż la reprise de session TLS (RFC 5077) ´┐Ż partir de la version 2.4.10 du serveur HTTP Apache

Cette directive permet de d´┐Żfinir la dur´┐Że de vie en secondes des informations stock´┐Żes dans le cache de sessions SSL global et inter-processus, dans le cache OpenSSL interne en m´┐Żmoire et pour les sessions r´┐Żinitialis´┐Żes par la reprise de session TLS (RFC 5077). elle peut ´┐Żtre d´┐Żfinie ´┐Ż une valeur d'environ 15 ´┐Ż des fins de test, mais ´┐Ż une valeur tr´┐Żs sup´┐Żrieure comme 300 en production.

Exemple

SSLSessionCacheTimeout 600
top

SSLSessionTicketKeyFile Directive

Description:Cl´┐Ż de chiffrement/d´┐Żchiffrement permanente pour les tickets de session TLS
Syntaxe:SSLSessionTicketKeyFile chemin-fichier
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible depuis la version 2.4.0 du serveur HTTP Apache, sous r´┐Żserve que l'on utilise une version 0.9.8h ou sup´┐Żrieure d'OpenSSL

Cette directive permet de d´┐Żfinir une cl´┐Ż secr´┐Żte pour le chiffrement et le d´┐Żchiffrement des tickets de session TLS selon les pr´┐Żconisations de la RFC 5077. Elle a ´┐Żt´┐Ż con´┐Żue ´┐Ż l'origine pour les environnements de clusters o´┐Ż les donn´┐Żes des sessions TLS doivent ´┐Żtre partag´┐Żes entre plusieurs noeuds. Pour les configurations ne comportant qu'une seule instance de httpd, il est pr´┐Żf´┐Żrable d'utiliser les cl´┐Żs (al´┐Żatoires) g´┐Żn´┐Żr´┐Żes par mod_ssl au d´┐Żmarrage du serveur.

Le fichier doit contenir 48 octets de donn´┐Żes al´┐Żatoires cr´┐Ż´┐Żes de pr´┐Żf´┐Żrence par une source ´┐Ż haute entropie. Sur un syst´┐Żme de type UNIX, il est possible de cr´┐Żer le fichier contenant la cl´┐Ż de la mani´┐Żre suivante :

dd if=/dev/random of=/chemin/vers/fichier.tkey bs=1 count=48

Ces cl´┐Żs doivent ´┐Żtre renouvel´┐Żes fr´┐Żquemment, car il s'agit du seul moyen d'invalider un ticket de session existant - OpenSSL ne permet pas actuellement de sp´┐Żcifier une limite ´┐Ż la dur´┐Że de vie des tickets.

Ce fichier contient des donn´┐Żes sensibles et doit donc ´┐Żtre prot´┐Żg´┐Ż par des permissions similaires ´┐Ż celles du fichier sp´┐Żcifi´┐Ż par la directive SSLCertificateKeyFile.

top

SSLSRPUnknownUserSeed Directive

Description:Source d'al´┐Ża pour utilisateur SRP inconnu
Syntaxe:SSLSRPUnknownUserSeed secret-string
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible depuis la version 2.4.4 du serveur HTTP Apache, si la version 1.0.1 ou sup´┐Żrieure d'OpenSSL est utilis´┐Że.

Cette directive permet de d´┐Żfinir la source d'al´┐Ża ´┐Ż utiliser pour les utilisateurs SRP inconnus, ceci afin de combler les manques en cas d'existence d'un tel utilisateur. Elle d´┐Żfinit une cha´┐Żne secr´┐Żte. Si cette directive n'est pas d´┐Żfinie, Apache renverra une alerte UNKNOWN_PSK_IDENTITY aux clients qui fournissent un nom d'utilisateur inconnu.

Exemple

SSLSRPUnknownUserSeed "secret"

top

SSLSRPVerifierFile Directive

Description:Chemin du fichier de v´┐Żrification SRP
Syntaxe:SSLSRPVerifierFile file-path
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible depuis la version 2.4.4 du serveur HTTP Apache, si la version 1.0.1 ou sup´┐Żrieure d'OpenSSL est utilis´┐Że.

Cette directive permet d'activer TLS-SRP et de d´┐Żfinir le chemin du fichier de v´┐Żrification OpenSSL SRP (Mot de passe distant s´┐Żcuris´┐Ż) contenant les noms d'utilisateurs TLS-SRP, les v´┐Żrificateurs, les "grains de sel" (salts), ainsi que les param´┐Żtres de groupe.

Exemple

SSLSRPVerifierFile "/path/to/file.srpv"

Le fichier de v´┐Żrification peut ´┐Żtre cr´┐Ż´┐Ż via l'utilitaire en ligne de commande openssl :

Cr´┐Żation du fichier de v´┐Żrification SRP

openssl srp -srpvfile passwd.srpv -userinfo "some info" -add username

La valeur affect´┐Że au param´┐Żtre optionnel -userinfo est enregistr´┐Że dans la variable d'environnement SSL_SRP_USERINFO.

top

SSLStaplingCache Directive

Description:Configuration du cache pour l'agrafage OCSP
Syntaxe:SSLStaplingCache type
Contexte:configuration du serveur
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible si on utilise OpenSSL version 0.9.8h ou sup´┐Żrieure

Si SSLUseStapling est ´┐Ż "on", cette directive permet de configurer le cache destin´┐Ż ´┐Ż stocker les r´┐Żponses OCSP incluses dans la n´┐Żgociation TLS. La configuration d'un cache est obligatoire pour pouvoir utiliser l'agrafage OCSP. A l'exception de none et nonenotnull, cette directive supporte les m´┐Żmes types de stockage que la directive SSLSessionCache.

Le mutex ssl-stapling permet de s´┐Żrialiser l'acc´┐Żs au cache d'agrafage OCSP afin d'en pr´┐Żvenir la corruption. Ce mutex peut ´┐Żtre configur´┐Ż via la directive Mutex.

top

SSLStaplingErrorCacheTimeout Directive

Description:Dur´┐Że de vie des r´┐Żponses invalides dans le cache pour agrafage OCSP
Syntaxe:SSLStaplingErrorCacheTimeout secondes
D´┐Żfaut:SSLStaplingErrorCacheTimeout 600
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible si on utilise OpenSSL version 0.9.8h ou sup´┐Żrieure

Cette directive permet de d´┐Żfinir la dur´┐Że de vie des r´┐Żponses invalides dans le cache pour agrafage OCSP configur´┐Ż via la directive SSLStaplingCache. Pour d´┐Żfinir la dur´┐Że de vie des r´┐Żponses valides, voir la directive SSLStaplingStandardCacheTimeout.

top

SSLStaplingFakeTryLater Directive

Description:G´┐Żn´┐Żre une r´┐Żponse "tryLater" pour les requ´┐Żtes OCSP ´┐Żchou´┐Żes
Syntaxe:SSLStaplingFakeTryLater on|off
D´┐Żfaut:SSLStaplingFakeTryLater on
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible si on utilise OpenSSL version 0.9.8h ou sup´┐Żrieure

Lorsque cette directive est activ´┐Że, et si une requ´┐Żte vers un serveur OCSP ´┐Ż des fins d'inclusion dans une n´┐Żgociation TLS ´┐Żchoue, mod_ssl va g´┐Żn´┐Żrer une r´┐Żponse "tryLater" pour le client (SSLStaplingReturnResponderErrors doit ´┐Żtre activ´┐Że).

top

SSLStaplingForceURL Directive

Description:Remplace l'URI du serveur OCSP sp´┐Żcifi´┐Ż dans l'extension AIA du certificat
Syntaxe:SSLStaplingForceURL uri
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible si on utilise OpenSSL version 0.9.8h ou sup´┐Żrieure

Cette directive permet de remplacer l'URI du serveur OCSP extraite de l'extension authorityInfoAccess (AIA) du certificat. Elle peut s'av´┐Żrer utile lorsqu'on passe par un mandataire

top

SSLStaplingResponderTimeout Directive

Description:Temps d'attente maximum pour les requ´┐Żtes vers les serveurs OCSP
Syntaxe:SSLStaplingResponderTimeout secondes
D´┐Żfaut:SSLStaplingResponderTimeout 10
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible si on utilise OpenSSL version 0.9.8h ou sup´┐Żrieure

Cette directive permet de d´┐Żfinir le temps d'attente maximum lorsque mod_ssl envoie une requ´┐Żte vers un serveur OCSP afin d'obtenir une r´┐Żponse destin´┐Że ´┐Ż ´┐Żtre incluse dans les n´┐Żgociations TLS avec les clients (SSLUseStapling doit avoir ´┐Żt´┐Ż activ´┐Że au pr´┐Żalable).

top

SSLStaplingResponseMaxAge Directive

Description:Age maximum autoris´┐Ż des r´┐Żponses OCSP incluses dans la n´┐Żgociation TLS
Syntaxe:SSLStaplingResponseMaxAge secondes
D´┐Żfaut:SSLStaplingResponseMaxAge -1
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible si on utilise OpenSSL version 0.9.8h ou sup´┐Żrieure

Cette directive permet de d´┐Żfinir l'´┐Żge maximum autoris´┐Ż ("fra´┐Żcheur") des r´┐Żponses OCSP incluses dans la n´┐Żgociation TLS (SSLUseStapling doit avoir ´┐Żt´┐Ż activ´┐Że au pr´┐Żalable). La valeur par d´┐Żfaut (-1) ne d´┐Żfinit aucun ´┐Żge maximum, ce qui signifie que les r´┐Żponses OCSP sont consid´┐Żr´┐Żes comme valides ´┐Ż partir du moment o´┐Ż le contenu de leur champ nextUpdate se trouve dans le futur.

top

SSLStaplingResponseTimeSkew Directive

Description:Dur´┐Że de vie maximale autoris´┐Że des r´┐Żponses OCSP incluses dans la n´┐Żgociation TLS
Syntaxe:SSLStaplingResponseTimeSkew secondes
D´┐Żfaut:SSLStaplingResponseTimeSkew 300
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible si on utilise OpenSSL version 0.9.8h ou sup´┐Żrieure

Cette directive permet de sp´┐Żcifier l'intervalle de temps maximum que mod_ssl va calculer en faisant la diff´┐Żrence entre les contenus des champs nextUpdate et thisUpdate des r´┐Żponses OCSP incluses dans la n´┐Żgociation TLS. Pour pouvoir utiliser cette directive, SSLUseStapling doit ´┐Żtre ´┐Ż "on".

top

SSLStaplingReturnResponderErrors Directive

Description:Transmet au client les erreurs survenues lors des requ´┐Żtes OCSP
Syntaxe:SSLStaplingReturnResponderErrors on|off
D´┐Żfaut:SSLStaplingReturnResponderErrors on
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible si on utilise OpenSSL version 0.9.8h ou sup´┐Żrieure

Lorsque cette directive est activ´┐Że, mod_ssl va transmettre au client les r´┐Żponses concernant les requ´┐Żtes OCSP ´┐Żchou´┐Żes (erreurs d'´┐Żtat, r´┐Żponses p´┐Żrim´┐Żes, etc...). Lorsqu'elle est ´┐Ż off, aucune r´┐Żponse concernant les requ´┐Żtes OCSP ´┐Żchou´┐Żes ne sera incluse dans les n´┐Żgociation TLS avec les clients.

top

SSLStaplingStandardCacheTimeout Directive

Description:Dur´┐Że de vie des r´┐Żponses OCSP dans le cache
Syntaxe:SSLStaplingStandardCacheTimeout secondes
D´┐Żfaut:SSLStaplingStandardCacheTimeout 3600
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible si on utilise OpenSSL version 0.9.8h ou sup´┐Żrieure

Cette directive permet de d´┐Żfinir la dur´┐Że de vie des r´┐Żponses OCSP dans le cache configur´┐Ż via la directive SSLStaplingCache. Elle ne s'applique qu'aux r´┐Żponse valides, alors que la directive SSLStaplingErrorCacheTimeout s'applique aux r´┐Żponses invalides ou non disponibles.

top

SSLStrictSNIVHostCheck Directive

Description:Contr´┐Żle de l'acc´┐Żs des clients non-SNI ´┐Ż un serveur virtuel ´┐Ż base de nom.
Syntaxe:SSLStrictSNIVHostCheck on|off
D´┐Żfaut:SSLStrictSNIVHostCheck off
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible depuis la version 2.2.12 d'Apache

Cette directive permet de contr´┐Żler l'acc´┐Żs des clients non-SNI ´┐Ż un serveur virtuel ´┐Ż base de nom. Si elle est d´┐Żfinie ´┐Ż on dans le serveur virtuel ´┐Ż base de nom par d´┐Żfaut, les clients non-SNI ne seront autoris´┐Żs ´┐Ż acc´┐Żder ´┐Ż aucun serveur virtuel appartenant ´┐Ż cette combinaison IP/port. Par contre, si elle est d´┐Żfinie ´┐Ż on dans un serveur virtuel quelconque, les clients non-SNI ne se verront interdire l'acc´┐Żs qu'´┐Ż ce serveur.

Cette option n'est disponible que si httpd a ´┐Żt´┐Ż compil´┐Ż avec une version d'OpenSSL supportant SNI.

Exemple

SSLStrictSNIVHostCheck on
top

SSLUserName Directive

Description:Nom de la variable servant ´┐Ż d´┐Żterminer le nom de l'utilisateur
Syntaxe:SSLUserName nom-var
Contexte:configuration du serveur, r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_ssl

Cette variable permet de d´┐Żfinir le champ "user" de l'objet de la requ´┐Żte Apache. Ce champ est utilis´┐Ż par des modules de plus bas niveau pour identifier l'utilisateur avec une cha´┐Żne de caract´┐Żres. En particulier, l'utilisation de cette directive peut provoquer la d´┐Żfinition de la variable d'environnement REMOTE_USER. La valeur de l'argument nom-var peut correspondre ´┐Ż toute variable d'environnement SSL.

Notez que cette directive est sans effet si l'option FakeBasicAuth est utilis´┐Że (voir SSLOptions).

Exemple

SSLUserName SSL_CLIENT_S_DN_CN
top

SSLUseStapling Directive

Description:Active l'ajout des r´┐Żponses OCSP ´┐Ż la n´┐Żgociation TLS
Syntaxe:SSLUseStapling on|off
D´┐Żfaut:SSLUseStapling off
Contexte:configuration du serveur, serveur virtuel
Statut:Extension
Module:mod_ssl
Compatibilit´┐Ż:Disponible si on utilise OpenSSL version 0.9.8h ou sup´┐Żrieure

Cette directive permet d'activer l'"Agrafage OCSP" (OCSP stapling) selon la d´┐Żfinition de l'extension TLS "Certificate Status Request" fournie dans la RFC 6066. Si elle est activ´┐Że et si le client le demande, mod_ssl va inclure une r´┐Żponse OCSP ´┐Ż propos de son propre certificat dans la n´┐Żgociation TLS. Pour pouvoir activer l'Agrafage OCSP, il est n´┐Żcessaire de configurer un SSLStaplingCache.

L'agrafage OCSP dispense le client de requ´┐Żrir le serveur OCSP directement ; il faut cependant noter que selon les sp´┐Żcifications de la RFC 6066, la r´┐Żponse CertificateStatus du serveur ne peut inclure une r´┐Żponse OCSP que pour un seul certificat. Pour les certificats de serveur comportant des certificats de CA interm´┐Żdiaires dans leur cha´┐Żne (c'est un cas typique de nos jours), l'impl´┐Żmentation actuelle de l'agrafage OCSP n'atteint que partiellement l'objectif d' "´┐Żconomie en questions/r´┐Żponse et en ressources". Pour plus de d´┐Żtails, voir la RFC 6961 (TLS Multiple Certificate Status Extension).

top

SSLVerifyClient Directive

Description:Niveau de v´┐Żrification du certificat client
Syntaxe:SSLVerifyClient niveau
D´┐Żfaut:SSLVerifyClient none
Contexte:configuration du serveur, serveur virtuel, r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_ssl

Cette directive permet de d´┐Żfinir le niveau de v´┐Żrification du certificat pour l'authentification du client. Notez que cette directive peut ´┐Żtre utilis´┐Że ´┐Ż la fois dans les contextes du serveur principal et du r´┐Żpertoire. Dans le contexte du serveur principal, elle s'applique au processus d'authentification du client utilis´┐Ż au cours de la n´┐Żgociation SSL standard lors de l'´┐Żtablissement d'une connexion. Dans un contexte de r´┐Żpertoire, elle force une ren´┐Żgociation SSL avec le niveau de v´┐Żrification du client sp´┐Żcifi´┐Ż, apr´┐Żs la lecture d'une requ´┐Żte HTTP, mais avant l'envoi de la r´┐Żponse HTTP.

Les valeurs de niveau disponibles sont les suivantes :

En pratique, seuls les niveaux none et require sont vraiment int´┐Żressants, car le niveau optional ne fonctionne pas avec tous les navigateurs, et le niveau optional_no_ca va vraiment ´┐Ż l'encontre de l'id´┐Że que l'on peut se faire de l'authentification (mais peut tout de m´┐Żme ´┐Żtre utilis´┐Ż pour ´┐Żtablir des pages de test SSL, etc...)

Exemple

SSLVerifyClient require
top

SSLVerifyDepth Directive

Description:Profondeur maximale des certificats de CA pour la v´┐Żrification des certificats clients
Syntaxe:SSLVerifyDepth nombre
D´┐Żfaut:SSLVerifyDepth 1
Contexte:configuration du serveur, serveur virtuel, r´┐Żpertoire, .htaccess
AllowOverride:AuthConfig
Statut:Extension
Module:mod_ssl

Cette directive permet de sp´┐Żcifier la profondeur maximale ´┐Ż laquelle mod_ssl va effectuer sa v´┐Żrification avant de d´┐Żcider que le client ne poss´┐Żde pas de certificat valide. Notez que cette directive peut ´┐Żtre utilis´┐Że ´┐Ż la fois dans les contextes du serveur principal et de r´┐Żpertoire. Dans le contexte du serveur principal, elle s'applique au processus d'authentification du client utilis´┐Ż au cours de la n´┐Żgociation SSL standard lors de l'´┐Żtablissement d'une connexion. Dans un contexte de r´┐Żpertoire, elle force une ren´┐Żgociation SSL avec le client selon la nouvelle profondeur sp´┐Żcifi´┐Że, apr´┐Żs la lecture d'une requ´┐Żte HTTP, mais avant l'envoi de la r´┐Żponse HTTP.

La profondeur correspond au nombre maximum de fournisseurs de certificats interm´┐Żdiaires, c'est ´┐Ż dire le nombre maximum de certificats de CA que l'on est autoris´┐Ż ´┐Ż suivre lors de la v´┐Żrification du certificat du client. Une profondeur de 0 signifie que seuls les certificats clients auto-sign´┐Żs sont accept´┐Żs ; la profondeur par d´┐Żfaut de 1 signifie que le certificat client peut ´┐Żtre soit auto-sign´┐Ż, soit sign´┐Ż par une CA connue directement du serveur (c'est ´┐Ż dire que le certificat de la CA doit ´┐Żtre r´┐Żf´┐Żrenc´┐Ż par la directive SSLCACertificatePath), etc...

Exemple

SSLVerifyDepth 10

Langues Disponibles:  en  |  fr 

top

Commentaires

Notice:
This is not a Q&A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our mailing lists.