Installation

Configuration

Peut-on faire cohabiter HTTP et HTTPS sur le mÃªme +
Peut-on faire cohabiter HTTP et HTTPS sur le même serveur ?
Quel port HTTPS utilise-t-il ?
Comment s'exprimer en langage HTTPS Ã des fins +
Comment s'exprimer en langage HTTPS à des fins de test ?
Pourquoi la communication se bloque-t-elle lorsque je -me connecte Ã mon serveur Apache configurÃ© pour SSL ?
Pourquoi, lorsque je tente d'accÃ©der en HTTPS Ã mon -serveur Apache+mod_ssl fraÃ®chement installÃ©, l'erreur ``Connection Refused'' +me connecte à mon serveur Apache configuré pour SSL ?
Pourquoi, lorsque je tente d'accéder en HTTPS à mon +serveur Apache+mod_ssl fraîchement installé, l'erreur ``Connection Refused'' s'affiche-t-elle ?
Pourquoi les variables SSL_XXX ne sont-elles pas disponibles dans mes scripts CGI et SSI ?

Peut-on faire cohabiter HTTP et HTTPS sur le mÃªme +<section id="parallel"><title>Peut-on faire cohabiter HTTP et HTTPS sur le même serveur ? -

Oui. HTTP et HTTPS utilisent des ports diffÃ©rents (HTTP Ã©coute le port +

Oui. HTTP et HTTPS utilisent des ports différents (HTTP écoute le port 80 et HTTPS le port 443), si bien qu'il n'y a pas de conflit direct entre - les deux. Vous pouvez soit exÃ©cuter deux instances sÃ©parÃ©es du serveur, - chacune d'entre elles Ã©coutant l'un de ces ports, soit utiliser l'Ã©lÃ©gante - fonctionnalitÃ© d'Apache que constituent les hÃ´tes virtuels pour crÃ©er - deux serveurs virtuels gÃ©rÃ©s par la mÃªme instance d'Apache - le - premier serveur rÃ©pondant en HTTP aux requÃªtes sur le port 80, - le second rÃ©pondant en HTTPS aux requÃªtes sur le port + les deux. Vous pouvez soit exécuter deux instances séparées du serveur, + chacune d'entre elles écoutant l'un de ces ports, soit utiliser l'élégante + fonctionnalité d'Apache que constituent les hôtes virtuels pour créer + deux serveurs virtuels gérés par la même instance d'Apache - le + premier serveur répondant en HTTP aux requêtes sur le port 80, + le second répondant en HTTPS aux requêtes sur le port 443.

Quel port HTTPS utilise-t-il ? -

Vous pouvez associer le protocole HTTPS Ã n'importe quel port, mais le port +

Vous pouvez associer le protocole HTTPS à n'importe quel port, mais le port standard est le port 443, que tout navigateur compatible HTTPS va utiliser par -dÃ©faut. Vous pouvez forcer votre navigateur Ã utiliser un port diffÃ©rent en le -prÃ©cisant dans l'URL. Par exemple, si votre serveur est configurÃ© pour -servir des pages en HTTPS sur le port 8080, vous pourrez y accÃ©der par +défaut. Vous pouvez forcer votre navigateur à utiliser un port différent en le +précisant dans l'URL. Par exemple, si votre serveur est configuré pour +servir des pages en HTTPS sur le port 8080, vous pourrez y accéder par l'adresse https://example.com:8080/.

Comment s'exprimer en langage HTTPS Ã des fins +<section id="httpstest"><title>Comment s'exprimer en langage HTTPS à des fins de test ?

Alors que vous utilisez simplement

@@ -128,21 +128,21 @@ de test ? GET / HTTP/1.0

pour tester facilement Apache via HTTP, les choses ne sont pas si - simples pour HTTPS Ã cause du protocole SSL situÃ© entre TCP et HTTP. + simples pour HTTPS à cause du protocole SSL situé entre TCP et HTTP. La commande OpenSSL s_client vous permet cependant d'effectuer un test similaire via HTTPS :

$ openssl s_client -connect localhost:443 -state -debug
GET / HTTP/1.0 -

Avant la vÃ©ritable rÃ©ponse HTTP, vous recevrez des informations - dÃ©taillÃ©es Ã propos de l'Ã©tablissement de la connexion SSL. Si vous - recherchez un client en ligne de commande Ã usage plus gÃ©nÃ©ral qui comprend - directement HTTP et HTTPS, qui peut effectuer des opÃ©rations GET et POST, - peut utiliser un mandataire, supporte les requÃªtes portant sur une partie +

Avant la véritable réponse HTTP, vous recevrez des informations + détaillées à propos de l'établissement de la connexion SSL. Si vous + recherchez un client en ligne de commande à usage plus général qui comprend + directement HTTP et HTTPS, qui peut effectuer des opérations GET et POST, + peut utiliser un mandataire, supporte les requêtes portant sur une partie d'un fichier (byte-range), etc..., vous devriez vous tourner vers - l'excellent outil cURL. GrÃ¢ce Ã lui, - vous pouvez vÃ©rifier si Apache rÃ©pond correctement aux requÃªtes via + l'excellent outil cURL. Grâce à lui, + vous pouvez vérifier si Apache répond correctement aux requêtes via HTTP et HTTPS comme suit :

$ curl http://localhost/
@@ -150,48 +150,48 @@ de test ?

Pourquoi la communication se bloque-t-elle lorsque je -me connecte Ã mon serveur Apache configurÃ© pour SSL ? -

Ceci peut arriver si vous vous connectez Ã un serveur HTTPS (ou Ã +me connecte à mon serveur Apache configuré pour SSL ? +

Ceci peut arriver si vous vous connectez à un serveur HTTPS (ou à un serveur virtuel) via HTTP (par exemple, en utilisant http://example.com/ au lieu de https://example.com). -Cela peut aussi arriver en essayant de vous connecter via HTTPS Ã un +Cela peut aussi arriver en essayant de vous connecter via HTTPS à un serveur HTTP (par exemple, en utilisant https://example.com/ avec un serveur qui ne supporte pas HTTPS, ou le supporte, mais sur un -port non standard). Assurez-vous que vous vous connectez bien Ã un +port non standard). Assurez-vous que vous vous connectez bien à un serveur (virtuel) qui supporte SSL.

Pourquoi, lorsque je tente d'accÃ©der en HTTPS Ã mon -serveur Apache+mod_ssl fraÃ®chement installÃ©, l'erreur ``Connection Refused'' +<section id="refused"><title>Pourquoi, lorsque je tente d'accéder en HTTPS à mon +serveur Apache+mod_ssl fraîchement installé, l'erreur ``Connection Refused'' s'affiche-t-elle ?

Une configuration incorrecte peut provoquer ce type d'erreur. Assurez-vous que vos directives Listen s'accordent avec vos directives VirtualHost. Si - l'erreur persiste, recommencez depuis le dÃ©but en restaurant la - configuration par dÃ©faut fournie parmod_ssl.

+ l'erreur persiste, recommencez depuis le début en restaurant la + configuration par défaut fournie parmod_ssl.

Pourquoi les variables <code>SSL_XXX</code> ne sont-elles pas disponibles dans mes scripts CGI et SSI ?

Assurez-vous que la directive ``SSLOptions +StdEnvVars'' est -bien prÃ©sente dans le contexte de vos requÃªtes CGI/SSI.

+bien présente dans le contexte de vos requêtes CGI/SSI.

Comment puis-je basculer entre les protocoles HTTP et HTTPS dans les hyperliens relatifs ?

Normalement, pour basculer entre HTTP et HTTPS, vous devez utiliser des -hyperliens pleinement qualifiÃ©s (car vous devez modifier le schÃ©ma de l'URL). -Cependant, Ã l'aide du module mod_rewrite, vous pouvez -manipuler des hyperliens relatifs, pour obtenir le mÃªme effet.

+hyperliens pleinement qualifiés (car vous devez modifier le schéma de l'URL). +Cependant, à l'aide du module mod_rewrite, vous pouvez +manipuler des hyperliens relatifs, pour obtenir le même effet.

RewriteEngine on
RewriteRule ^/(.*)_SSL$ https://%{SERVER_NAME}/$1 [R,L]
RewriteRule ^/(.*)_NOSSL$ http://%{SERVER_NAME}/$1 [R,L] -

Ce jeu de rÃ¨gles rewrite vous permet d'utiliser des hyperliens de la +

Ce jeu de règles rewrite vous permet d'utiliser des hyperliens de la forme <a href="document.html_SSL"> pour passer en HTTPS dans les liens relatifs. (Remplacez SSL par NOSSL pour passer en HTTP.)

@@ -200,76 +200,76 @@ manipuler des hyperliens relatifs, pour

Certificats

Qu'est-ce qu'un clÃ© privÃ©e RSA, un certificat, +
Qu'est-ce qu'un clé privée RSA, un certificat, une demande de signature de certificat (CSR) ?
Y a-t-il une diffÃ©rence au dÃ©marrage entre un serveur +
Y a-t-il une différence au démarrage entre un serveur Apache non SSL et un serveur Apache supportant SSL ?
Comment crÃ©er un certificat auto-signÃ© SSL Ã des +
Comment créer un certificat auto-signé SSL à des fins de test ?
Comment crÃ©er un vrai certificat SSL ?
Comment crÃ©er et utiliser sa propre AutoritÃ© de +
Comment créer un vrai certificat SSL ?
Comment créer et utiliser sa propre Autorité de certification (CA) ?
Comment modifier le mot de passe -de ma clÃ© privÃ©e ?
Comment dÃ©marrer Apache sans avoir Ã entrer de +de ma clé privée ?
Comment démarrer Apache sans avoir à entrer de mot de passe ?
Comment vÃ©rifier si une clÃ© privÃ©e correspond bien -Ã son certificat ?
Pour quelle raison une connexion Ã©choue-t-elle avec +
Comment vérifier si une clé privée correspond bien +à son certificat ?
Pour quelle raison une connexion échoue-t-elle avec l'erreur "alert bad certificate" ?
Comment convertir un certificat du format PEM au format DER ?
Pourquoi les navigateurs se plaignent-ils de ne pas pouvoir -vÃ©rifier mon certificat de serveur Verisign Global ID ?

Qu'est-ce qu'un clÃ© privÃ©e RSA, un certificat, +<section id="keyscerts"><title>Qu'est-ce qu'un clé privée RSA, un certificat, une demande de signature de certificat (CSR) ? -

Un fichier de clÃ© privÃ©e RSA est un fichier numÃ©rique que vous pouvez -utiliser pour dÃ©chiffrer des messages que l'on vous a envoyÃ©s. Il a son -pendant Ã caractÃ¨re public que vous pouvez distribuer (par le biais de votre +

Un fichier de clé privée RSA est un fichier numérique que vous pouvez +utiliser pour déchiffrer des messages que l'on vous a envoyés. Il a son +pendant à caractère public que vous pouvez distribuer (par le biais de votre certificat), ce qui permet aux utilisateurs de chiffrer les messages qu'ils vous envoient.

Une Demande de Signature de Certificat (CSR) est un fichier numÃ©rique - qui contient votre clÃ© publique et votre nom. La CSR doit Ãªtre envoyÃ©e Ã - une AutoritÃ© de Certification (CA), qui va la convertir en vrai certificat +

Une Demande de Signature de Certificat (CSR) est un fichier numérique + qui contient votre clé publique et votre nom. La CSR doit être envoyée à + une Autorité de Certification (CA), qui va la convertir en vrai certificat en la signant.

Un certificat contient votre clÃ© publique RSA, votre nom, le nom - de la CA, et est signÃ© numÃ©riquement par cette derniÃ¨re. Les navigateurs - qui reconnaissent la CA peuvent vÃ©rifier la signature du certificat, et - ainsi en extraire votre clÃ© publique RSA. Ceci leur permet de vous envoyer - des messages chiffrÃ©s que vous seul pourrez dÃ©chiffrer.

Se rÃ©fÃ©rer au chapitre Introduction - pour une description gÃ©nÃ©rale du protocole SSL.

Un certificat contient votre clé publique RSA, votre nom, le nom + de la CA, et est signé numériquement par cette dernière. Les navigateurs + qui reconnaissent la CA peuvent vérifier la signature du certificat, et + ainsi en extraire votre clé publique RSA. Ceci leur permet de vous envoyer + des messages chiffrés que vous seul pourrez déchiffrer.

Se référer au chapitre Introduction + pour une description générale du protocole SSL.

Y a-t-il une diffÃ©rence au dÃ©marrage entre un serveur +<section id="startup"><title>Y a-t-il une différence au démarrage entre un serveur Apache non SSL et un serveur Apache supportant SSL ? -

Oui. En gÃ©nÃ©ral, avec ou sans mod_ssl intÃ©grÃ©, le dÃ©marrage -d'Apache ne prÃ©sente pas de diffÃ©rences. Cependant, si votre fichier de clÃ© -privÃ©e SSL possÃ¨de un mot de passe, vous devrez le taper au dÃ©marrage +

Oui. En général, avec ou sans mod_ssl intégré, le démarrage +d'Apache ne présente pas de différences. Cependant, si votre fichier de clé +privée SSL possède un mot de passe, vous devrez le taper au démarrage d'Apache.

Devoir entrer manuellement le mot de passe au dÃ©marrage du serveur peut - poser quelques problÃ¨mes - par exemple, quand le serveur est dÃ©marrÃ© au - moyen de scripts au lancement du systÃ¨me. Dans ce cas, vous pouvez suivre - les Ã©tapes ci-dessous pour supprimer le - mot de passe de votre clÃ© privÃ©e. Gardez Ã l'esprit qu'agir ainsi augmente - les risques de sÃ©curitÃ© - agissez avec prÃ©caution !

Devoir entrer manuellement le mot de passe au démarrage du serveur peut + poser quelques problèmes - par exemple, quand le serveur est démarré au + moyen de scripts au lancement du système. Dans ce cas, vous pouvez suivre + les étapes ci-dessous pour supprimer le + mot de passe de votre clé privée. Gardez à l'esprit qu'agir ainsi augmente + les risques de sécurité - agissez avec précaution !

Comment crÃ©er un certificat auto-signÃ© SSL Ã des +<section id="selfcert"><title>Comment créer un certificat auto-signé SSL à des fins de test ?

VÃ©rifiez qu'OpenSSL est installÃ© et l'exÃ©cutable openssl dans votre +
Vérifiez qu'OpenSSL est installé et l'exécutable openssl dans votre PATH.
ExÃ©cuter la commande suivante pour crÃ©er les fichiers +
Exécuter la commande suivante pour créer les fichiers server.key et server.crt :
$ openssl req -new -x509 -nodes -out server.crt -keyout server.key
- Ces fichiers seront utilisÃ©s comme suit dans votre + Ces fichiers seront utilisés comme suit dans votre httpd.conf :
```
              SSLCertificateFile    /chemin/vers/server.crt
@@ -277,127 +277,127 @@ fins de test ?
 	
```
Il est important de savoir que le fichier server.key n'a - pas de mot de passe. Pour ajouter un mot de passe Ã la clÃ©, vous - devez exÃ©cuter la commande suivante et confirmer le mot de passe comme - demandÃ©.
+ pas de mot de passe. Pour ajouter un mot de passe à la clé, vous + devez exécuter la commande suivante et confirmer le mot de passe comme + demandé.

$ openssl rsa -des3 -in server.key -out server.key.new
$ mv server.key.new server.key
Sauvegardez le fichier server.key ainsi que son mot de - passe en lieu sÃ»r. + passe en lieu sûr.

Comment crÃ©er un vrai certificat SSL ? -

Voici la marche Ã suivre pas Ã pas :

Comment créer un vrai certificat SSL ? +

Voici la marche à suivre pas à pas :

Assurez-vous qu'OpenSSL est bien installÃ© et dans votre PATH. +
Assurez-vous qu'OpenSSL est bien installé et dans votre PATH.
CrÃ©ez une clÃ© privÃ©e RSA pour votre serveur Apache - (elle sera au format PEM et chiffrÃ©e en Triple-DES):
+
Créez une clé privée RSA pour votre serveur Apache + (elle sera au format PEM et chiffrée en Triple-DES):

$ openssl genrsa -des3 -out server.key 2048

Enregistrez le fichier server.key et le mot de passe - Ã©ventuellement dÃ©fini en lieu sÃ»r. - Vous pouvez afficher les dÃ©tails de cette clÃ© privÃ©e RSA Ã l'aide de la + éventuellement défini en lieu sûr. + Vous pouvez afficher les détails de cette clé privée RSA à l'aide de la commande :

$ openssl rsa -noout -text -in server.key

- Si nÃ©cessaire, vous pouvez aussi crÃ©er une version PEM non chiffrÃ©e - (non recommandÃ©) de clÃ© privÃ©e RSA avec :
+ Si nécessaire, vous pouvez aussi créer une version PEM non chiffrée + (non recommandé) de clé privée RSA avec :

$ openssl rsa -in server.key -out server.key.unsecure
CrÃ©ez une Demande de signature de Certificat (CSR) Ã l'aide de la - clÃ© privÃ©e prÃ©cÃ©demment gÃ©nÃ©rÃ©e (la sortie sera au format PEM):
+
Créez une Demande de signature de Certificat (CSR) à l'aide de la + clé privée précédemment générée (la sortie sera au format PEM):

$ openssl req -new -key server.key -out server.csr

- Vous devez entrer le Nom de Domaine Pleinement QualifiÃ© + Vous devez entrer le Nom de Domaine Pleinement Qualifié ("Fully Qualified Domain Name" ou FQDN) de votre serveur lorsqu'OpenSSL - vous demande le "CommonName", c'est Ã dire que si vous gÃ©nÃ©rez une CSR - pour un site web auquel on accÃ¨dera par l'URL + vous demande le "CommonName", c'est à dire que si vous générez une CSR + pour un site web auquel on accèdera par l'URL https://www.foo.dom/, le FQDN sera "www.foo.dom". Vous - pouvez afficher les dÃ©tails de ce CSR avec :
+ pouvez afficher les détails de ce CSR avec :

$ openssl req -noout -text -in server.csr
Vous devez maintenant envoyer la CSR Ã une AutoritÃ© de Certification - (CA), afin que cette derniÃ¨re puisse la signer. Une fois la CSR signÃ©e, - vous disposerez d'un vÃ©ritable certificat que vous pourrez utiliser avec +
Vous devez maintenant envoyer la CSR à une Autorité de Certification + (CA), afin que cette dernière puisse la signer. Une fois la CSR signée, + vous disposerez d'un véritable certificat que vous pourrez utiliser avec Apache. Vous pouvez faire signer votre CSR par une CA commerciale ou par votre propre CA.
- Les CAs commerciales vous demandent en gÃ©nÃ©ral de leur envoyer la CSR - par l'intermÃ©diaire d'un formulaire web, de rÃ©gler le montant de la - signature, puis vous envoient un certificat signÃ© que vous pouvez + Les CAs commerciales vous demandent en général de leur envoyer la CSR + par l'intermédiaire d'un formulaire web, de régler le montant de la + signature, puis vous envoient un certificat signé que vous pouvez enregistrer dans un fichier server.crt. - Pour plus de dÃ©tails sur la maniÃ¨re de crÃ©er sa propre CA, et de + Pour plus de détails sur la manière de créer sa propre CA, et de l'utiliser pour signer une CSR, voir ci-dessous.
- Une fois la CSR signÃ©e, vous pouvez afficher les dÃ©tails du certificat + Une fois la CSR signée, vous pouvez afficher les détails du certificat comme suit :

$ openssl x509 -noout -text -in server.crt
Vous devez maintenant disposer de deux fichiers : - server.key et server.crt. Ils sont prÃ©cisÃ©s dans + server.key et server.crt. Ils sont précisés dans votre fichier httpd.conf comme suit :
```
        SSLCertificateFile    /chemin/vers/server.crt
        SSLCertificateKeyFile /chemin vers/server.key
        
```
- Le fichier server.csr n'est plus nÃ©cessaire. + Le fichier server.csr n'est plus nécessaire.

Comment crÃ©er et utiliser sa propre AutoritÃ© de +<section id="ownca"><title>Comment créer et utiliser sa propre Autorité de certification (CA) ? -

La solution la plus simple consiste Ã utiliser les scripts +

La solution la plus simple consiste à utiliser les scripts CA.sh ou CA.pl fournis avec OpenSSL. De - prÃ©fÃ©rence, utilisez cette solution, Ã moins que vous ayez de bonnes - raisons de ne pas le faire. Dans ce dernier cas, vous pouvez crÃ©er un - certificat auto-signÃ© comme suit :

+ préférence, utilisez cette solution, à moins que vous ayez de bonnes + raisons de ne pas le faire. Dans ce dernier cas, vous pouvez créer un + certificat auto-signé comme suit :

CrÃ©ez une clÃ© privÃ©e RSA pour votre serveur - (elle sera au format PEM et chiffrÃ©e en Triple-DES) :
+
Créez une clé privée RSA pour votre serveur + (elle sera au format PEM et chiffrée en Triple-DES) :

$ openssl genrsa -des3 -out server.key 2048

Sauvegardez le fichier host.key et le mot de passe - Ã©ventuellement dÃ©fini en lieu sÃ»r. - Vous pouvez afficher les dÃ©tails de cette clÃ© privÃ©e RSA Ã l'aide de la + éventuellement défini en lieu sûr. + Vous pouvez afficher les détails de cette clé privée RSA à l'aide de la commande :
$ openssl rsa -noout -text -in server.key

- Si nÃ©cessaire, vous pouvez aussi crÃ©er une version PEM non chiffrÃ©e - (non recommandÃ©) de cette clÃ© privÃ©e RSA avec :
+ Si nécessaire, vous pouvez aussi créer une version PEM non chiffrée + (non recommandé) de cette clé privée RSA avec :

$ openssl rsa -in server.key -out server.key.unsecure
CrÃ©ez un certificat auto-signÃ© (structure X509) Ã l'aide de la clÃ© RSA - que vous venez de gÃ©nÃ©rer (la sortie sera au format PEM) :
+
Créez un certificat auto-signé (structure X509) à l'aide de la clé RSA + que vous venez de générer (la sortie sera au format PEM) :

$ openssl req -new -x509 -nodes -sha1 -days 365 -key server.key -out server.crt

Cette commande signe le certificat du serveur et produit un fichier - server.crt. Vous pouvez afficher les dÃ©tails de ce + server.crt. Vous pouvez afficher les détails de ce certificat avec :

$ openssl x509 -noout -text -in server.crt
@@ -407,32 +407,32 @@ certification (CA) ?

Comment modifier le mot de passe -de ma clÃ© privÃ©e ? -

Vous devez simplement lire la clÃ© avec l'ancien mot de passe et la -rÃ©Ã©crire en spÃ©cifiant le nouveau mot de passe. Pour cela, vous pouvez +de ma clé privée ? +

Vous devez simplement lire la clé avec l'ancien mot de passe et la +réécrire en spécifiant le nouveau mot de passe. Pour cela, vous pouvez utiliser les commandes suivantes :

$ openssl rsa -des3 -in server.key -out server.key.new
$ mv server.key.new server.key

La premiÃ¨re fois qu'il vous est demandÃ© un mot de passe PEM, vous +

La première fois qu'il vous est demandé un mot de passe PEM, vous devez entrer l'ancien mot de passe. Ensuite, on vous demandera d'entrer encore un mot de passe - cette fois, entrez le nouveau mot de passe. Si on - vous demande de vÃ©rifier le mot de passe, vous devrez entrer le nouveau + vous demande de vérifier le mot de passe, vous devrez entrer le nouveau mot de passe une seconde fois.

Comment dÃ©marrer Apache sans avoir Ã entrer de +<section id="removepassphrase"><title>Comment démarrer Apache sans avoir à entrer de mot de passe ? -

L'apparition de ce dialogue au dÃ©marrage et Ã chaque redÃ©marrage provient -du fait que la clÃ© privÃ©e RSA contenue dans votre fichier server.key est -enregistrÃ©e sous forme chiffrÃ©e pour des raisons de sÃ©curitÃ©. Le -dÃ©chiffrement de ce fichier nÃ©cessite un mot de passe, afin de pouvoir Ãªtre -lu et interprÃ©tÃ©. Cependant, La suppression du mot de passe diminue le niveau de -sÃ©curitÃ© du serveur - agissez avec prÃ©cautions !

L'apparition de ce dialogue au démarrage et à chaque redémarrage provient +du fait que la clé privée RSA contenue dans votre fichier server.key est +enregistrée sous forme chiffrée pour des raisons de sécurité. Le +déchiffrement de ce fichier nécessite un mot de passe, afin de pouvoir être +lu et interprété. Cependant, La suppression du mot de passe diminue le niveau de +sécurité du serveur - agissez avec précautions !

Supprimer le chiffrement de la clÃ© privÃ©e RSA (tout en conservant une +
Supprimer le chiffrement de la clé privée RSA (tout en conservant une copie de sauvegarde du fichier original) :

$ cp server.key server.key.org
@@ -447,49 +447,49 @@ sÃ©curitÃ© du serveur - agissez avec

Maintenant, server.key contient une copie non chiffrÃ©e de - la clÃ©. Si vous utilisez ce fichier pour votre serveur, il ne vous - demandera plus de mot de passe. CEPENDANT, si quelqu'un arrive Ã obtenir - cette clÃ©, il sera en mesure d'usurper votre identitÃ© sur le rÃ©seau. - Vous DEVEZ par consÃ©quent vous assurer que seuls root ou le serveur web - peuvent lire ce fichier (de prÃ©fÃ©rence, dÃ©marrez le serveur web sous - root et faites le s'exÃ©cuter sous un autre utilisateur, en n'autorisant - la lecture de la clÃ© que par root).

Maintenant, server.key contient une copie non chiffrée de + la clé. Si vous utilisez ce fichier pour votre serveur, il ne vous + demandera plus de mot de passe. CEPENDANT, si quelqu'un arrive à obtenir + cette clé, il sera en mesure d'usurper votre identité sur le réseau. + Vous DEVEZ par conséquent vous assurer que seuls root ou le serveur web + peuvent lire ce fichier (de préférence, démarrez le serveur web sous + root et faites le s'exécuter sous un autre utilisateur, en n'autorisant + la lecture de la clé que par root).

Une autre alternative consiste Ã utiliser la directive +

Une autre alternative consiste à utiliser la directive ``SSLPassPhraseDialog exec:/chemin/vers/programme''. Gardez - cependant Ã l'esprit que ce n'est bien entendu ni plus ni moins - sÃ©curisÃ©.

+ cependant à l'esprit que ce n'est bien entendu ni plus ni moins + sécurisé.

Comment vÃ©rifier si une clÃ© privÃ©e correspond bien -Ã son certificat ? -

Une clÃ© privÃ©e contient une sÃ©rie de nombres. Deux de ces nombres forment la -"clÃ© publique", les autres appartiennent Ã la "clÃ© privÃ©e". Les bits de la -"clÃ© publique" sont inclus quand vous gÃ©nÃ©rez une CSR, et font par -consÃ©quent partie du certificat associÃ©.

Pour vÃ©rifier que la clÃ© publique contenue dans votre certificat - correspond bien Ã la partie publique de votre clÃ© privÃ©e, il vous suffit - de comparer ces nombres. Pour afficher le certificat et la clÃ©, +

Comment vérifier si une clé privée correspond bien +à son certificat ? +

Une clé privée contient une série de nombres. Deux de ces nombres forment la +"clé publique", les autres appartiennent à la "clé privée". Les bits de la +"clé publique" sont inclus quand vous générez une CSR, et font par +conséquent partie du certificat associé.

Pour vérifier que la clé publique contenue dans votre certificat + correspond bien à la partie publique de votre clé privée, il vous suffit + de comparer ces nombres. Pour afficher le certificat et la clé, utilisez cette commande :

$ openssl x509 -noout -text -in server.crt
$ openssl rsa -noout -text -in server.key

Les parties `modulus' et `public exponent' doivent Ãªtre identiques dans - la clÃ© et le certificat. Comme le `public exponent' est habituellement - 65537, et comme il est difficile de vÃ©rifier visuellement que les nombreux +

Les parties `modulus' et `public exponent' doivent être identiques dans + la clé et le certificat. Comme le `public exponent' est habituellement + 65537, et comme il est difficile de vérifier visuellement que les nombreux nombres du `modulus' sont identiques, vous pouvez utiliser l'approche suivante :

$ openssl x509 -noout -modulus -in server.crt | openssl md5
$ openssl rsa -noout -modulus -in server.key | openssl md5

Il ne vous reste ainsi que deux nombres relativement courts Ã comparer. - Il est possible, en thÃ©orie que ces deux nombres soient les mÃªmes, sans que +

Il ne vous reste ainsi que deux nombres relativement courts à comparer. + Il est possible, en théorie que ces deux nombres soient les mêmes, sans que les nombres du modulus soient identiques, mais les chances en sont infimes.

Si vous souhaitez vÃ©rifier Ã quelle clÃ© ou certificat appartient une CSR - particuliÃ¨re, vous pouvez effectuer le mÃªme calcul +

Si vous souhaitez vérifier à quelle clé ou certificat appartient une CSR + particulière, vous pouvez effectuer le même calcul sur la CSR comme suit :

$ openssl req -noout -modulus -in server.csr | openssl md5

@@ -497,94 +497,94 @@ consÃ©quent partie du certificat assoc

Comment convertir un certificat du format PEM au format DER ? -

Le format des certificats par dÃ©faut pour OpenSSL est le format PEM, -qui est tout simplement un format DER codÃ© en Base64, avec des lignes -d'en-tÃªtes et des annotations. Certaines applications, comme +

Le format des certificats par défaut pour OpenSSL est le format PEM, +qui est tout simplement un format DER codé en Base64, avec des lignes +d'en-têtes et des annotations. Certaines applications, comme Microsoft Internet Explorer, ont besoin d'un certificat au format DER de base. -Vous pouvez convertir un fichier PEM cert.pem en son Ã©quivalent -au format DER cert.der Ã l'aide de la commande suivante : +Vous pouvez convertir un fichier PEM cert.pem en son équivalent +au format DER cert.der à l'aide de la commande suivante : $ openssl x509 -in cert.pem -out cert.der -outform DER

Pourquoi les navigateurs se plaignent-ils de ne pas pouvoir -vÃ©rifier mon certificat de serveur Verisign Global ID ? -

Verisign utilise un certificat de CA intermÃ©diaire entre le certificat -de CA racine (installÃ© dans les navigateurs) et le certificat du serveur (que -vous avez installÃ© sur le serveur). Verisign a dÃ» vous envoyer ce certificat -de CA additionnel. Dans la nÃ©gative, rÃ©clamez-le. Ensuite, installez ce -certificat Ã l'aide de la directive +vérifier mon certificat de serveur Verisign Global ID ? +

Verisign utilise un certificat de CA intermédiaire entre le certificat +de CA racine (installé dans les navigateurs) et le certificat du serveur (que +vous avez installé sur le serveur). Verisign a dû vous envoyer ce certificat +de CA additionnel. Dans la négative, réclamez-le. Ensuite, installez ce +certificat à l'aide de la directive SSLCertificateChainFile. Ceci assure -que le certificat de CA intermÃ©diaire est bien envoyÃ© au navigateur, ce qui -comble le vide dans la chaÃ®ne de certification.

+que le certificat de CA intermédiaire est bien envoyé au navigateur, ce qui +comble le vide dans la chaîne de certification.

Le protocole SSL

Pourquoi de nombreuses et alÃ©atoires erreurs de +
Pourquoi de nombreuses et aléatoires erreurs de protocole SSL apparaissent-elles en cas de forte charge du serveur ?
Pourquoi la charge de mon serveur est-elle plus -importante depuis qu'il sert des ressources chiffrÃ©es en SSL ?
Pourquoi les connexions en HTTPS Ã mon serveur -prennent-elles parfois jusqu'Ã 30 secondes pour s'Ã©tablir ?
Pourquoi les connexions en HTTPS à mon serveur +prennent-elles parfois jusqu'à 30 secondes pour s'établir ?
Quels sont les algorithmes de chiffrement -supportÃ©s par mod_ssl ?
Pourquoi une erreur ``no shared cipher'' apparaÃ®t-elle +supportés par mod_ssl ?
Pourquoi une erreur ``no shared cipher'' apparaît-elle quand j'essaie d'utiliser un algorithme de chiffrement Diffie-Hellman anonyme (ADH) ?
Pourquoi une erreur ``no shared cipher'' -apparaÃ®t-elle lorsqu'on se connecte Ã mon serveur -fraÃ®chement installÃ© ?
Pourquoi ne peut-on pas utiliser SSL avec des hÃ´tes -virtuels identifiÃ©s par un nom et non par une adresse IP ?
Pourquoi ne peut-on pas utiliser SSL avec des hôtes +virtuels identifiés par un nom et non par une adresse IP ?
Est-il possible d'utiliser -l'hÃ©bergement virtuel basÃ© sur le nom d'hÃ´te -pour diffÃ©rencier plusieurs hÃ´tes virtuels ?
Comment mettre en oeuvre la compression SSL ?
Lorsque j'utilise l'authentification de base sur HTTPS, -l'icÃ´ne de verrouillage des navigateurs Netscape reste ouverte quand la boÃ®te -de dialogue d'authentification apparaÃ®t. Cela signifie-t-il que les utilisateur -et mot de passe sont envoyÃ©s en clair ?
Pourquoi des erreurs d'entrÃ©e/sortie apparaissent-elles -lorsqu'on se connecte Ã un serveur Apache+mod_ssl avec +l'icône de verrouillage des navigateurs Netscape reste ouverte quand la boîte +de dialogue d'authentification apparaît. Cela signifie-t-il que les utilisateur +et mot de passe sont envoyés en clair ?
Pourquoi des erreurs d'entrée/sortie apparaissent-elles +lorsqu'on se connecte à un serveur Apache+mod_ssl avec Microsoft Internet Explorer (MSIE) ?

Pourquoi de nombreuses et alÃ©atoires erreurs de +<section id="random"><title>Pourquoi de nombreuses et aléatoires erreurs de protocole SSL apparaissent-elles en cas de forte charge du serveur ? -

Ce problÃ¨me peut avoir plusieurs causes, mais la principale rÃ©side dans le -cache de session SSL dÃ©fini par la directive +

Ce problème peut avoir plusieurs causes, mais la principale réside dans le +cache de session SSL défini par la directive SSLSessionCache. Le cache de session -DBM est souvent Ã la source du problÃ¨me qui peut Ãªtre rÃ©solu en utilisant le +DBM est souvent à la source du problème qui peut être résolu en utilisant le cache de session SHM (ou en n'utilisant tout simplement pas de cache).

Pourquoi la charge de mon serveur est-elle plus -importante depuis qu'il sert des ressources chiffrÃ©es en SSL ? -

SSL utilise un procÃ©dÃ© de chiffrement fort qui nÃ©cessite la manipulation -d'une quantitÃ© trÃ¨s importante de nombres. Lorsque vous effectuez une requÃªte -pour une page web via HTTPS, tout (mÃªme les images) est chiffrÃ© avant d'Ãªtre -transmis. C'est pourquoi un accroissement du traffic HTTPS entraÃ®ne une +importante depuis qu'il sert des ressources chiffrées en SSL ? +

SSL utilise un procédé de chiffrement fort qui nécessite la manipulation +d'une quantité très importante de nombres. Lorsque vous effectuez une requête +pour une page web via HTTPS, tout (même les images) est chiffré avant d'être +transmis. C'est pourquoi un accroissement du traffic HTTPS entraîne une augmentation de la charge.

Pourquoi les connexions en HTTPS Ã mon serveur -prennent-elles parfois jusqu'Ã 30 secondes pour s'Ã©tablir ? -

Ce problÃ¨me provient en gÃ©nÃ©ral d'un pÃ©riphÃ©rique /dev/random -qui bloque l'appel systÃ¨me read(2) jusqu'Ã ce que suffisamment d'entropie -soit disponible pour servir la requÃªte. Pour plus d'information, se rÃ©fÃ©rer au -manuel de rÃ©fÃ©rence de la directive +

Pourquoi les connexions en HTTPS à mon serveur +prennent-elles parfois jusqu'à 30 secondes pour s'établir ? +

Ce problème provient en général d'un périphérique /dev/random +qui bloque l'appel système read(2) jusqu'à ce que suffisamment d'entropie +soit disponible pour servir la requête. Pour plus d'information, se référer au +manuel de référence de la directive SSLRandomSeed.

Quels sont les algorithmes de chiffrement -supportÃ©s par mod_ssl ? -

En gÃ©nÃ©ral, tous les algorithmes de chiffrement supportÃ©s par la version -d'OpenSSL installÃ©e, le sont aussi par mod_ssl. La liste des -algorithmes disponibles peut dÃ©pendre de la maniÃ¨re dont vous avez installÃ© -OpenSSL. Typiquement, au moins les algorithmes suivants sont supportÃ©s :

+supportés par mod_ssl ? +

En général, tous les algorithmes de chiffrement supportés par la version +d'OpenSSL installée, le sont aussi par mod_ssl. La liste des +algorithmes disponibles peut dépendre de la manière dont vous avez installé +OpenSSL. Typiquement, au moins les algorithmes suivants sont supportés :

RC4 avec SHA1
Triple-DES avec SHA1

Pour dÃ©terminer la liste rÃ©elle des algorithmes disponibles, vous +

Pour déterminer la liste réelle des algorithmes disponibles, vous pouvez utiliser la commande suivante :

$ openssl ciphers -v

Pourquoi une erreur ``no shared cipher'' apparaÃ®t-elle +<section id="adh"><title>Pourquoi une erreur ``no shared cipher'' apparaît-elle quand j'essaie d'utiliser un algorithme de chiffrement Diffie-Hellman anonyme (ADH) ? -

Par dÃ©faut et pour des raisons de sÃ©curitÃ©, OpenSSl ne permet pas +

Par défaut et pour des raisons de sécurité, OpenSSl ne permet pas l'utilisation des algorithmes de chiffrements ADH. Veuillez vous informer sur les effets pervers potentiels si vous choisissez d'activer le support de ces algorithmes de chiffrements.

Pour pouvoir utiliser les algorithmes de chiffrements Diffie-Hellman anonymes (ADH), vous devez compiler OpenSSL avec -``-DSSL_ALLOW_ADH'', puis ajouter ``ADH'' Ã votre +``-DSSL_ALLOW_ADH'', puis ajouter ``ADH'' à votre directive SSLCipherSuite.

Pourquoi une erreur ``no shared cipher'' -apparaÃ®t-elle lorsqu'on se connecte Ã mon serveur -fraÃ®chement installÃ© ? -

Soit vous avez fait une erreur en dÃ©finissant votre directive +apparaît-elle lorsqu'on se connecte à mon serveur +fraîchement installé ? +

Soit vous avez fait une erreur en définissant votre directive SSLCipherSuite (comparez-la avec -l'exemple prÃ©configurÃ© dans extra/httpd-ssl.conf), soit vous avez +l'exemple préconfiguré dans extra/httpd-ssl.conf), soit vous avez choisi d'utiliser des algorithmes DSA/DH au lieu de RSA lorsque vous avez -gÃ©nÃ©rÃ© votre clÃ© privÃ©e, et avez ignorÃ© ou Ãªtes passÃ© outre les +généré votre clé privée, et avez ignoré ou êtes passé outre les avertissements. Si vous avez choisi DSA/DH, votre serveur est incapable de -communiquer en utilisant des algorithmes de chiffrements SSL basÃ©s sur RSA -(du moins tant que vous n'aurez pas configurÃ© une paire clÃ©/certificat RSA +communiquer en utilisant des algorithmes de chiffrements SSL basés sur RSA +(du moins tant que vous n'aurez pas configuré une paire clé/certificat RSA additionnelle). Les navigateurs modernes tels que NS ou IE ne peuvent communiquer par SSL qu'avec des algorithmes RSA. C'est ce qui provoque l'erreur -"no shared ciphers". Pour la corriger, gÃ©nÃ©rez une nouvelle paire -clÃ©/certificat pour le serveur en utilisant un algorithme de chiffrement +"no shared ciphers". Pour la corriger, générez une nouvelle paire +clé/certificat pour le serveur en utilisant un algorithme de chiffrement RSA.

Pourquoi ne peut-on pas utiliser SSL avec des hÃ´tes -virtuels identifiÃ©s par un nom et non par une adresse IP ? -

Pourquoi ne peut-on pas utiliser SSL avec des hôtes +virtuels identifiés par un nom et non par une adresse IP ? +

La raison est très technique, et s'apparente au problème de la primauté de l'oeuf ou de la poule. La couche du protocole SSL se trouve en dessous de la -couche de protocole HTTP qu'elle encapsule. Lors de l'Ã©tablissement d'une -connexion SSL (HTTPS), Apache/mod_ssl doit nÃ©gocier les paramÃ¨tres du +couche de protocole HTTP qu'elle encapsule. Lors de l'établissement d'une +connexion SSL (HTTPS), Apache/mod_ssl doit négocier les paramètres du protocole SSL avec le client. Pour cela, mod_ssl doit consulter la -configuration du serveur virtuel (par exemple, il doit accÃ©der Ã la la suite +configuration du serveur virtuel (par exemple, il doit accéder à la la suite d'algorithmes de chiffrement, au certificat du serveur, etc...). Mais afin de -sÃ©lectionner le bon serveur virtuel, Apache doit connaÃ®tre le contenu du champ -d'en-tÃªte HTTP Host. Pour cela, il doit lire l'en-tÃªte de la -requÃªte HTTP. Mais il ne peut le faire tant que la nÃ©gociation SSL n'est pas -terminÃ©e, or, la phase de nÃ©gociation SSL a besoin du nom d'hÃ´te contenu -dans l'en-tÃªte de la requÃªte. Voir la question suivante pour -contourner ce problÃ¨me.

+sélectionner le bon serveur virtuel, Apache doit connaître le contenu du champ +d'en-tête HTTP Host. Pour cela, il doit lire l'en-tête de la +requête HTTP. Mais il ne peut le faire tant que la négociation SSL n'est pas +terminée, or, la phase de négociation SSL a besoin du nom d'hôte contenu +dans l'en-tête de la requête. Voir la question suivante pour +contourner ce problème.

Est-il possible d'utiliser -l'hÃ©bergement virtuel basÃ© sur le nom d'hÃ´te -pour diffÃ©rencier plusieurs hÃ´tes virtuels ? -

L'hÃ©bergement virtuel basÃ© sur le nom est une mÃ©thode trÃ¨s populaire - d'identification des diffÃ©rents hÃ´tes virtuels. Il permet d'utiliser la - mÃªme adresse IP et le mÃªme numÃ©ro de port pour de nombreux sites - diffÃ©rents. Lorsqu'on se tourne vers SSL, il semble tout naturel de penser - que l'on peut appliquer la mÃªme mÃ©thode pour gÃ©rer plusieurs hÃ´tes - virtuels SSL sur le mÃªme serveur.

+l'hébergement virtuel basé sur le nom d'hôte +pour différencier plusieurs hôtes virtuels ? +

L'hébergement virtuel basé sur le nom est une méthode très populaire + d'identification des différents hôtes virtuels. Il permet d'utiliser la + même adresse IP et le même numéro de port pour de nombreux sites + différents. Lorsqu'on se tourne vers SSL, il semble tout naturel de penser + que l'on peut appliquer la même méthode pour gérer plusieurs hôtes + virtuels SSL sur le même serveur.

C'est possible, mais seulement si on utilise une version 2.2.12 - ou supÃ©rieure du serveur web compilÃ©e avec OpenSSL - version 0.9.8j ou supÃ©rieure. Ceci est du au fait que - l'utilisation de l'hÃ©bergement virtuel Ã base de nom - avec SSL nÃ©cessite une fonctionnalitÃ© appelÃ©e + ou supérieure du serveur web compilée avec OpenSSL + version 0.9.8j ou supérieure. Ceci est du au fait que + l'utilisation de l'hébergement virtuel à base de nom + avec SSL nécessite une fonctionnalité appelée Indication du Nom de Serveur (Server Name Indication - SNI) que - seules les rÃ©visions les plus rÃ©centes de la - spÃ©cification SSL supportent.

+ seules les révisions les plus récentes de la + spécification SSL supportent.

La raison en est que le protocole SSL constitue une couche sÃ©parÃ©e qui - encapsule le protocole HTTP. Aini, la session SSL nÃ©cessite une - transaction sÃ©parÃ©e qui prend place avant que la session HTTP n'ait dÃ©butÃ©. - Le serveur reÃ§oit une requÃªte SSL sur l'adresse IP X et le port Y - (habituellement 443). Comme la requÃªte SSL ne contenait aucun - en-tÃªte Host:, le serveur n'avait aucun moyen de dÃ©terminer quel hÃ´te virtuel SSL il - devait utiliser. En gÃ©nÃ©ral, il utilisait le premier +

La raison en est que le protocole SSL constitue une couche séparée qui + encapsule le protocole HTTP. Aini, la session SSL nécessite une + transaction séparée qui prend place avant que la session HTTP n'ait débuté. + Le serveur reçoit une requête SSL sur l'adresse IP X et le port Y + (habituellement 443). Comme la requête SSL ne contenait aucun + en-tête Host:, le serveur n'avait aucun moyen de déterminer quel hôte virtuel SSL il + devait utiliser. En général, il utilisait le premier qu'il trouvait et qui - correspondait Ã l'adresse IP et au port spÃ©cifiÃ©s.

+ correspondait à l'adresse IP et au port spécifiés.

Par contre, si vous utilisez des versions du serveur web et d'OpenSSL qui supportent SNI, et si le navigateur du client le - supporte aussi, alors le nom d'hÃ´te sera inclus dans la - requÃªte SSL originale, et le serveur web pourra - sÃ©lectionner le bon serveur virtuel SSL.

- -

Bien entendu, vous pouvez utiliser l'hÃ©bergement virtuel basÃ© sur le nom - pour identifier de nombreux hÃ´tes virtuels non-SSL - (tous sur le port 80 par exemple), et ne gÃ©rer qu'un seul hÃ´te virtuel SSL - (sur le port 443). Mais dans ce cas, vous devez dÃ©finir le numÃ©ro de port - non-SSL Ã l'aide de la directive NameVirtualHost dans ce style :

+ supporte aussi, alors le nom d'hôte sera inclus dans la + requête SSL originale, et le serveur web pourra + sélectionner le bon serveur virtuel SSL.

+ +

Bien entendu, vous pouvez utiliser l'hébergement virtuel basé sur le nom + pour identifier de nombreux hôtes virtuels non-SSL + (tous sur le port 80 par exemple), et ne gérer qu'un seul hôte virtuel SSL + (sur le port 443). Mais dans ce cas, vous devez définir le numéro de port + non-SSL à l'aide de la directive NameVirtualHost dans ce style :

il existe d'autres solutions alternatives comme :

Utiliser des adresses IP diffÃ©rentes pour chaque hÃ´te SSL. - Utiliser des numÃ©ros de port diffÃ©rents pour chaque hÃ´te SSL.

Utiliser des adresses IP différentes pour chaque hôte SSL. + Utiliser des numéros de port différents pour chaque hôte SSL.

Comment mettre en oeuvre la compression SSL ? -

Bien que la nÃ©gociation pour la compression SSL ait Ã©tÃ© dÃ©finie dans la -spÃ©cification de SSLv2 et TLS, ce n'est qu'en mai 2004 que la RFC 3749 a -dÃ©fini DEFLATE comme une mÃ©thode de compression standard nÃ©gociable. +

Bien que la négociation pour la compression SSL ait été définie dans la +spécification de SSLv2 et TLS, ce n'est qu'en mai 2004 que la RFC 3749 a +défini DEFLATE comme une méthode de compression standard négociable.

Depuis la version 0.9.8, OpenSSL supporte cette compression par dÃ©faut -lorsqu'il est compilÃ© avec l'option zlib. Si le client et le -serveur supportent la compression, elle sera utilisÃ©e. Cependant, la +

Depuis la version 0.9.8, OpenSSL supporte cette compression par défaut +lorsqu'il est compilé avec l'option zlib. Si le client et le +serveur supportent la compression, elle sera utilisée. Cependant, la plupart des clients essaient encore de se connecter avec un Hello SSLv2. -Comme SSLv2 ne comportait pas de table des algorithmes de compression prÃ©fÃ©rÃ©s -dans sa nÃ©gociation, la compression ne peut pas Ãªtre nÃ©gociÃ©e avec ces clients. -Si le client dÃ©sactive le support SSLv2, un Hello SSLv3 ou TLS peut Ãªtre -envoyÃ©, selon la bibliothÃ¨que SSL utilisÃ©e, et la compression peut Ãªtre mise -en oeuvre. Vous pouvez vÃ©rifier si un client utilise la compression SSL en +Comme SSLv2 ne comportait pas de table des algorithmes de compression préférés +dans sa négociation, la compression ne peut pas être négociée avec ces clients. +Si le client désactive le support SSLv2, un Hello SSLv3 ou TLS peut être +envoyé, selon la bibliothèque SSL utilisée, et la compression peut être mise +en oeuvre. Vous pouvez vérifier si un client utilise la compression SSL en journalisant la variable %{SSL_COMPRESS_METHOD}x.

Lorsque j'utilise l'authentification de base sur HTTPS, -l'icÃ´ne de verrouillage des navigateurs Netscape reste ouverte quand la boÃ®te -de dialogue d'authentification apparaÃ®t. Cela signifie-t-il que les utilisateur -et mot de passe sont envoyÃ©s en clair ? -

Non, le couple utilisateur/mot de passe est transmis sous forme chiffrÃ©e. - L'icÃ´ne de chiffrement dans les navigateurs Netscape n'est pas vraiment - synchronisÃ© avec la couche SSL/TLS. Il ne passe Ã l'Ã©tat verrouillÃ© - qu'au moment oÃ¹ la premiÃ¨re partie des donnÃ©es relatives Ã la page web - proprement dite sont transfÃ©rÃ©es, ce qui peut prÃªter Ã confusion. Le - dispositif d'authentification de base appartient Ã la couche HTTP, qui - est situÃ©e au dessus de la couche SSL/TLS dans HTTPS. Avant tout - transfert de donnÃ©es HTTP sous HTTPS, la couche SSL/TLS a dÃ©jÃ achevÃ© - sa phase de nÃ©gociation et basculÃ© dans le mode de communication - chiffrÃ©e. Ne vous laissez donc pas abuser par l'Ã©tat de cet icÃ´ne.

- -

Pourquoi des erreurs d'entrÃ©e/sortie apparaissent-elles -lorsqu'on se connecte Ã un serveur Apache+mod_ssl avec +l'icône de verrouillage des navigateurs Netscape reste ouverte quand la boîte +de dialogue d'authentification apparaît. Cela signifie-t-il que les utilisateur +et mot de passe sont envoyés en clair ? +

Non, le couple utilisateur/mot de passe est transmis sous forme chiffrée. + L'icône de chiffrement dans les navigateurs Netscape n'est pas vraiment + synchronisé avec la couche SSL/TLS. Il ne passe à l'état verrouillé + qu'au moment où la première partie des données relatives à la page web + proprement dite sont transférées, ce qui peut prêter à confusion. Le + dispositif d'authentification de base appartient à la couche HTTP, qui + est située au dessus de la couche SSL/TLS dans HTTPS. Avant tout + transfert de données HTTP sous HTTPS, la couche SSL/TLS a déjà achevé + sa phase de négociation et basculé dans le mode de communication + chiffrée. Ne vous laissez donc pas abuser par l'état de cet icône.

+ +

Pourquoi des erreurs d'entrée/sortie apparaissent-elles +lorsqu'on se connecte via HTTPS à un serveur Apache+mod_ssl avec des +versions anciennes de Microsoft Internet Explorer (MSIE) ? -

La première raison en est la présence dans l'implémentation SSL de certaines versions de MSIE de bogues subtils en rapport avec le dispositif de "maintien en vie" (keep-alive) HTTP, et les alertes de notification de fermeture de session SSL en cas de coupure de la -connexion au point d'entrÃ©e (socket). De plus, l'interaction entre -SSL et les fonctionnalitÃ©s HTTP/1.1 pose problÃ¨me avec certaines -versions de MSIE. Vous pouvez contourner ces problÃ¨mes en interdisant -Ã Apache l'utilisation de HTTP/1.1, les connexions avec maintien en vie +connexion au point d'entrée (socket). De plus, l'interaction entre +SSL et les fonctionnalités HTTP/1.1 pose problème avec certaines +versions de MSIE. Vous pouvez contourner ces problèmes en interdisant +à Apache l'utilisation de HTTP/1.1, les connexions avec maintien en vie ou l'envoi de messages de notification de fermeture de session SSL aux clients MSIE. Pour cela, vous pouvez utiliser la directive suivante -dans votre section d'hÃ´te virtuel avec support SSL :

+dans votre section d'hôte virtuel avec support SSL :

- SetEnvIf User-Agent ".*MSIE.*" \
+ SetEnvIf User-Agent "MSIE [2-5]" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0 -

En outre, certaines versions de MSIE ont des problÃ¨mes avec des - algorithmes de chiffrement particuliers. HÃ©las, il n'est pas - possible d'apporter une solution spÃ©cifique Ã MSIE pour ces - problÃ¨mes, car les algorithmes de chiffrement sont utilisÃ©s dÃ¨s la - phase de nÃ©gociation SSL. Ainsi, une directive - SetEnvIf spÃ©cifique - Ã MSIE ne peut Ãªtre d'aucun secours. Par contre, vous devrez - ajuster les paramÃ¨tres gÃ©nÃ©raux de maniÃ¨re drastique. Avant de - vous dÃ©cider, soyez sÃ»r que vos clients rencontrent vraiment des - problÃ¨mes. Dans la nÃ©gative, n'effectuez pas ces ajustements car +

En outre, certaines versions de MSIE ont des problèmes avec des + algorithmes de chiffrement particuliers. Hélas, il n'est pas + possible d'apporter une solution spécifique à MSIE pour ces + problèmes, car les algorithmes de chiffrement sont utilisés dès la + phase de négociation SSL. Ainsi, une directive + SetEnvIf spécifique + à MSIE ne peut être d'aucun secours. Par contre, vous devrez + ajuster les paramètres généraux de manière drastique. Avant de + vous décider, soyez sûr que vos clients rencontrent vraiment des + problèmes. Dans la négative, n'effectuez pas ces ajustements car ils affecteront tous vos clients, ceux utilisant MSIE, mais aussi les autres.

@@ -770,157 +771,157 @@ dans votre section d'hÃ´te virtuel ave

Support de mod_ssl

Quelles sont les sources d'informations -disponibles en cas de problÃ¨me avec mod_ssl ?
Qui peut-on contacter pour un support en cas de -problÃ¨me avec mod_ssl ?
Un vidage mémoire s'est produit, pouvez-vous m'aider ?
Comment puis-je obtenir une journalisation de -ce qui s'est passÃ©, pour m'aider Ã trouver la raison de ce vidage -mÃ©moire ?

Quelles sont les sources d'informations -disponibles en cas de problÃ¨me avec mod_ssl ? +disponibles en cas de problème avec mod_ssl ?

Voici les sources d'informations disponibles ; vous devez chercher -ici en cas de problÃ¨me.

+ici en cas de problème.

Vous trouverez des réponses dans la Foire Aux Questions du manuel utilisateur (ce document): http://httpd.apache.org/docs/&httpd.docs;/ssl/ssl_faq.html
Cherchez tout d'abord dans la foire aux questions - (ce document). Si votre question est courante, on a dÃ©jÃ dÃ» y - rÃ©pondre de nombreuses fois, et elle fait probablement partie + (ce document). Si votre question est courante, on a déjà dû y + répondre de nombreuses fois, et elle fait probablement partie de ce document.

Qui peut-on contacter pour un support en cas de -problÃ¨me avec mod_ssl ? -

Voici toutes les possibilitÃ©s de support pour mod_ssl, par ordre - de prÃ©fÃ©rence. Merci d'utiliser ces possibilitÃ©s - dans cet ordre - ne vous prÃ©cipitez pas sur celle qui vous - paraÃ®t la plus allÃ©chante.

+problème avec mod_ssl ? +

Voici toutes les possibilités de support pour mod_ssl, par ordre + de préférence. Merci d'utiliser ces possibilités + dans cet ordre - ne vous précipitez pas sur celle qui vous + paraît la plus alléchante.

Envoyez un rapport de problÃ¨me Ã la liste de diffusion de +
Envoyez un rapport de problème à la liste de diffusion de support des utilisateurs d'Apache httpd
users@httpd.apache.org
- C'est la deuxiÃ¨me maniÃ¨re de soumettre votre rapport de - problÃ¨me. Ici aussi, vous devez d'abord vous abonner Ã la + C'est la deuxième manière de soumettre votre rapport de + problème. Ici aussi, vous devez d'abord vous abonner à la liste, mais vous pourrez ensuite discuter facilement de votre - problÃ¨me avec l'ensemble de la communautÃ© d'utilisateurs + problème avec l'ensemble de la communauté d'utilisateurs d'Apache httpd.

-
Ecrire un rapport de problÃ¨me dans la base de donnÃ©es des +
Ecrire un rapport de problème dans la base de données des bogues
http://httpd.apache.org/bug_report.html
- C'est la derniÃ¨re maniÃ¨re de soumettre votre rapport de - problÃ¨me. Vous ne devez utiliser cette solution que si vous - avez dÃ©jÃ Ã©crit aux listes de diffusion, et n'avez pas trouvÃ© + C'est la dernière manière de soumettre votre rapport de + problème. Vous ne devez utiliser cette solution que si vous + avez déjà écrit aux listes de diffusion, et n'avez pas trouvé de solution. Merci de suivre les instructions de la page - mentionnÃ©e ci-dessus avec soin. + mentionnée ci-dessus avec soin.

Quelles informations dois-je fournir lors -de l'Ã©criture d'un rapport de bogue ? +de l'écriture d'un rapport de bogue ?
Vous devez toujours fournir au moins les informations suivantes :

-
Les versions d'Apache httpd et OpenSSL installÃ©es
-
La version d'Apache peut Ãªtre dÃ©terminÃ©e en exÃ©cutant - httpd -v. La version d'OpenSSL peut Ãªtre dÃ©terminÃ©e - en exÃ©cutant openssl version. Si Lynx est installÃ©, - vous pouvez aussi exÃ©cuter la commandelynx -mime_header +
Les versions d'Apache httpd et OpenSSL installées
+ La version d'Apache peut être déterminée en exécutant + httpd -v. La version d'OpenSSL peut être déterminée + en exécutant openssl version. Si Lynx est installé, + vous pouvez aussi exécuter la commandelynx -mime_header http://localhost/ | grep Server et ainsi obtenir ces informations en une seule fois. - Les dÃ©tails de votre installation d'Apache httpd et OpenSSL + Les détails de votre installation d'Apache httpd et OpenSSL A cet effet, vous pouvez fournir un fichier journal de votre - session de terminal qui montre les Ã©tapes de la configuration et - de l'installation. En cas d'impossibilitÃ©, vous devez au moins + session de terminal qui montre les étapes de la configuration et + de l'installation. En cas d'impossibilité, vous devez au moins fournir la ligne de commande configure que - vous avez utilisÃ©e. + vous avez utilisée. - En cas de vidage mÃ©moire, inclure une trace de ce qui s'est - passÃ© + En cas de vidage mémoire, inclure une trace de ce qui s'est + passé Si votre serveur Apache httpd fait un vidage de sa - mÃ©moire, merci de fournir en piÃ¨ce jointe un fichier contenant - une trace de la zone dÃ©diÃ©e Ã la pile (voir - ci-dessous pour des informations sur la maniÃ¨re - de l'obtenir). Il est nÃ©cessaire de disposer de ces informations - afin de pouvoir dÃ©terminer la raison de votre vidage mÃ©moire. + mémoire, merci de fournir en pièce jointe un fichier contenant + une trace de la zone dédiée à la pile (voir + ci-dessous pour des informations sur la manière + de l'obtenir). Il est nécessaire de disposer de ces informations + afin de pouvoir déterminer la raison de votre vidage mémoire. - Une description dÃ©taillÃ©e de votre problÃ¨me + Une description détaillée de votre problème - Ne riez pas, nous sommes sÃ©rieux ! De nombreux rapports - n'incluent pas de description de la vÃ©ritable nature du problÃ¨me. - Sans ces informations, il est trÃ¨s difficile pour quiconque de - vous aider. Donc, et c'est votre propre intÃ©rÃªt (vous souhaitez - que le problÃ¨me soit rÃ©solu, n'est-ce pas ?), fournissez, s'il vous - plait, le maximum de dÃ©tails possible. Bien entendu, vous devez - aussi inclure tout ce qui a Ã©tÃ© dit prÃ©cÃ©demment. + Ne riez pas, nous sommes sérieux ! De nombreux rapports + n'incluent pas de description de la véritable nature du problème. + Sans ces informations, il est très difficile pour quiconque de + vous aider. Donc, et c'est votre propre intérêt (vous souhaitez + que le problème soit résolu, n'est-ce pas ?), fournissez, s'il vous + plait, le maximum de détails possible. Bien entendu, vous devez + aussi inclure tout ce qui a été dit précédemment.
-Un vidage mÃ©moire s'est produit, +<section id="coredumphelp"><title>Un vidage mémoire s'est produit, pouvez-vous m'aider ? -En gÃ©nÃ©ral non, du moins tant que vous n'aurez pas fourni plus de -dÃ©tails Ã propos de la localisation dans le code oÃ¹ Apache a effectuÃ© -son vidage mÃ©moire. Ce dont nous avons en gÃ©nÃ©ral besoin pour vous -aider est une trace de ce qui s'est passÃ© (voir la question suivante). -Sans cette information, il est pratiquement impossible de dÃ©terminer -la nature du problÃ¨me et de vous aider Ã le rÃ©soudre. +En général non, du moins tant que vous n'aurez pas fourni plus de +détails à propos de la localisation dans le code où Apache a effectué +son vidage mémoire. Ce dont nous avons en général besoin pour vous +aider est une trace de ce qui s'est passé (voir la question suivante). +Sans cette information, il est pratiquement impossible de déterminer +la nature du problème et de vous aider à le résoudre. Comment puis-je obtenir une journalisation de -ce qui s'est passÃ©, pour m'aider Ã trouver la raison de ce vidage -mÃ©moire ? -Vous trouverez ci-dessous les diffÃ©rentes Ã©tapes permettant -d'obtenir une journalisation des Ã©vÃ¨nements (backtrace) : +ce qui s'est passé, pour m'aider à trouver la raison de ce vidage +mémoire ? +Vous trouverez ci-dessous les différentes étapes permettant +d'obtenir une journalisation des évènements (backtrace) : - Assurez-vous que les symboles de dÃ©bogage sont disponibles, au - moins pour Apache. Pour cela, sur les plates-formes oÃ¹ GCC/GDB est - utilisÃ©, vous devez compiler Apache+mod_ssl avec l'option + Assurez-vous que les symboles de débogage sont disponibles, au + moins pour Apache. Pour cela, sur les plates-formes où GCC/GDB est + utilisé, vous devez compiler Apache+mod_ssl avec l'option ``OPTIM="-g -ggdb3"''. Sur les autres plates-formes, l'option ``OPTIM="-g"'' est un minimum. - DÃ©marrez le serveur et essayez de reproduire le vidage mÃ©moire. + Démarrez le serveur et essayez de reproduire le vidage mémoire. A cet effet, vous pouvez utiliser une directive du style - ``CoreDumpDirectory /tmp'' pour Ãªtre sÃ»r que le - fichier de vidage mÃ©moire puisse bien Ãªtre Ã©crit. Vous devriez + ``CoreDumpDirectory /tmp'' pour être sûr que le + fichier de vidage mémoire puisse bien être écrit. Vous devriez obtenir un fichier /tmp/core ou /tmp/httpd.core. Si ce n'est pas le cas, essayez de lancer votre serveur sous un UID autre que root. - Pour des raisons de sÃ©curitÃ©, de nombreux - noyaux modernes de permettent pas Ã un processus de vider sa - mÃ©moire une fois qu'il a accompli un setuid() (Ã moins + Pour des raisons de sécurité, de nombreux + noyaux modernes de permettent pas à un processus de vider sa + mémoire une fois qu'il a accompli un setuid() (à moins qu'il effectue un exec()) car des informations d'un - niveau privilÃ©giÃ© pourraient Ãªtre transmises en mÃ©moire. Si - nÃ©cessaire, vous pouvez exÃ©cuter /chemin/vers/httpd -X - manuellement afin de ne pas permettre Ã Apache de se clÃ´ner (fork). + niveau privilégié pourraient être transmises en mémoire. Si + nécessaire, vous pouvez exécuter /chemin/vers/httpd -X + manuellement afin de ne pas permettre à Apache de se clôner (fork). - Analysez le vidage mÃ©moire. Pour cela, exÃ©cutez + Analysez le vidage mémoire. Pour cela, exécutez gdb /path/to/httpd /tmp/httpd.core ou une commande - similaire. Dans GDB, tout ce que vous avez Ã faire est d'entrer + similaire. Dans GDB, tout ce que vous avez à faire est d'entrer bt, et voila, vous obtenez la backtrace. Pour les - dÃ©bogueurs autres que GDB consulter le manuel correspondant. + débogueurs autres que GDB consulter le manuel correspondant. Modified: httpd/httpd/trunk/docs/manual/ssl/ssl_howto.xml.fr URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/ssl/ssl_howto.xml.fr?rev=1134674&r1=1134673&r2=1134674&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/ssl/ssl_howto.xml.fr (original) +++ httpd/httpd/trunk/docs/manual/ssl/ssl_howto.xml.fr Sat Jun 11 15:38:13 2011 @@ -1,7 +1,7 @@ - + @@ -290,7 +290,7 @@ SSLRequire %{SSL_CIPHER_USEKEY RewriteEngine on RewriteCond %{REMOTE_ADDR} !^192\.168\.1\.[0-9]+$ RewriteCond %{HTTPS} !=on -RewriteRule .* - [F] +RewriteRule . - [F] # On permet l'accès soit sur les critères réseaux, soit par authentification Basique Satisfy any Modified: httpd/httpd/trunk/docs/manual/vhosts/examples.xml.fr URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/vhosts/examples.xml.fr?rev=1134674&r1=1134673&r2=1134674&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/vhosts/examples.xml.fr (original) +++ httpd/httpd/trunk/docs/manual/vhosts/examples.xml.fr Sat Jun 11 15:38:13 2011 @@ -1,7 +1,7 @@ - + @@ -61,8 +61,7 @@ # Apache doit écouter sur le port 80 Listen 80 - # Toutes les adresses IP doivent répondre aux requêtes sur les - # serveurs virtuels + <VirtualHost *:80> DocumentRoot /www/example.com @@ -582,7 +581,7 @@ # Serveur virtuel primaire DocumentRoot /www/subdomain RewriteEngine On - RewriteRule ^/.* /www/subdomain/index.html + RewriteRule . /www/subdomain/index.html # ... </VirtualHost>