Return-Path: X-Original-To: apmail-httpd-cvs-archive@www.apache.org Delivered-To: apmail-httpd-cvs-archive@www.apache.org Received: from mail.apache.org (hermes.apache.org [140.211.11.3]) by minotaur.apache.org (Postfix) with SMTP id 3F949174D3 for ; Sat, 18 Oct 2014 16:28:56 +0000 (UTC) Received: (qmail 85735 invoked by uid 500); 18 Oct 2014 16:28:56 -0000 Delivered-To: apmail-httpd-cvs-archive@httpd.apache.org Received: (qmail 85667 invoked by uid 500); 18 Oct 2014 16:28:56 -0000 Mailing-List: contact cvs-help@httpd.apache.org; run by ezmlm Precedence: bulk Reply-To: dev@httpd.apache.org list-help: list-unsubscribe: List-Post: List-Id: Delivered-To: mailing list cvs@httpd.apache.org Received: (qmail 85658 invoked by uid 99); 18 Oct 2014 16:28:56 -0000 Received: from nike.apache.org (HELO nike.apache.org) (192.87.106.230) by apache.org (qpsmtpd/0.29) with ESMTP; Sat, 18 Oct 2014 16:28:56 +0000 X-ASF-Spam-Status: No, hits=-2000.0 required=5.0 tests=ALL_TRUSTED X-Spam-Check-By: apache.org Received: from [140.211.11.4] (HELO eris.apache.org) (140.211.11.4) by apache.org (qpsmtpd/0.29) with ESMTP; Sat, 18 Oct 2014 16:28:32 +0000 Received: from eris.apache.org (localhost [127.0.0.1]) by eris.apache.org (Postfix) with ESMTP id A5892238899C; Sat, 18 Oct 2014 16:28:30 +0000 (UTC) Content-Type: text/plain; charset="utf-8" MIME-Version: 1.0 Content-Transfer-Encoding: 7bit Subject: svn commit: r1632816 - in /httpd/httpd/trunk/docs/manual: mod/core.xml.fr ssl/ssl_howto.xml.fr Date: Sat, 18 Oct 2014 16:28:30 -0000 To: cvs@httpd.apache.org From: lgentis@apache.org X-Mailer: svnmailer-1.0.9 Message-Id: <20141018162830.A5892238899C@eris.apache.org> X-Virus-Checked: Checked by ClamAV on apache.org Author: lgentis Date: Sat Oct 18 16:28:30 2014 New Revision: 1632816 URL: http://svn.apache.org/r1632816 Log: XML update. Modified: httpd/httpd/trunk/docs/manual/mod/core.xml.fr httpd/httpd/trunk/docs/manual/ssl/ssl_howto.xml.fr Modified: httpd/httpd/trunk/docs/manual/mod/core.xml.fr URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/core.xml.fr?rev=1632816&r1=1632815&r2=1632816&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/mod/core.xml.fr (original) +++ httpd/httpd/trunk/docs/manual/mod/core.xml.fr Sat Oct 18 16:28:30 2014 @@ -1,7 +1,7 @@ - + @@ -2757,10 +2757,8 @@ HTTP LimitRequestLine 4094 - Dans des conditions normales, la valeur par défaut de cette - directive ne doit pas être modifiée. En outre, vous ne - pouvez pas spécifier une valeur supérieure à 8190 sans modifier le - code source et recompiler. + Dans des conditions normales, cette directive doit conserver + sa valeur par défaut. Avertissement

Dans le cas des serveurs virtuels à base de noms, la valeur de Modified: httpd/httpd/trunk/docs/manual/ssl/ssl_howto.xml.fr URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/ssl/ssl_howto.xml.fr?rev=1632816&r1=1632815&r2=1632816&view=diff ============================================================================== --- httpd/httpd/trunk/docs/manual/ssl/ssl_howto.xml.fr (original) +++ httpd/httpd/trunk/docs/manual/ssl/ssl_howto.xml.fr Sat Oct 18 16:28:30 2014 @@ -1,7 +1,7 @@ - + @@ -113,6 +113,116 @@ SSLCipherSuite HIGH:!aNULL:!MD5 +

+Agrafage OCSP + +

Le protocole de contrôle du statut des certificats en ligne (Online +Certificate Status Protocol - OCSP) est un mécanisme permettant de +déterminer si un certificat a été révoqué ou non, et l'agrafage OCSP en +est une fonctionnalité particulière par laquelle le serveur, par exemple +httpd et mod_ssl, maintient une liste des réponses OCSP actuelles pour +ses certificats et l'envoie aux clients qui communiquent avec lui. La +plupart des certificats contiennent l'adresse d'un répondeur OCSP maintenu +par l'Autorité de Certification (CA) spécifiée, et mod_ssl peut requérir +ce répondeur pour obtenir une réponse signée qui peut être envoyée aux +clients qui communiquent avec le serveur.

+ +

L'agrafage OCSP est la méthode la plus performante pour obtenir le +statut d'un certificat car il est disponible au niveau du serveur, et le +client n'a donc pas besoin d'ouvrir une nouvelle connexion vers +l'autorité de certification. Autres avantages de l'absence de +communication entre le client et l'autorité de certification : +l'autorité de certification n'a pas accès à l'historique de navigation +du client, et l'obtention du statut du certificat est plus efficace car +elle n'est plus assujettie à une surcharge éventuelle des serveurs de +l'autorité de certification.

+ +

La charge du serveur est moindre car la réponse qu'il a obtenu du +répondeur OCSP peut être réutilisée par tous les clients qui utilisent +le même certificat dans la limite du temps de validité de la réponse.

+ +

Une fois le support général SSL correctement configuré, l'activation +de l'agrafage OCSP ne requiert que des modifications mineures +à la configuration de httpd et il suffit en général de l'ajout de ces +deux directives :

+ + +SSLUseStapling On +SSLStaplingCache "shmcb:ssl_stapling(32768)" + + +

Ces directives sont placées de façon à ce qu'elles aient une portée +globale (et particulièrement en dehors de toute section VirtualHost), le +plus souvent où sont placées les autres directives de configuration +globales SSL, comme conf/extra/httpd-ssl.conf pour les +installations de httpd à partir des sources, ou +/etc/apache2/mods-enabled/ssl.conf pour Ubuntu ou Debian, +etc...

+ +

Les sections suivantes explicitent les situations courantes qui +requièrent des modifications supplémentaires de la configuration. Vous +pouvez aussi vous référer au manuel de référence de +mod_ssl.

+ +
+Si l'on utilise plus que quelques certificats SSL pour le serveur +

Les réponses OCSP sont stockées dans le cache d'agrafage SSL. Alors +que les réponses ont une taille de quelques centaines à quelques +milliers d'octets, mod_ssl supporte des réponses d'une taille jusqu'à +environ 10 ko. Dans notre cas, le nombre de certificats est conséquent +et la taille du cache (32768 octets dans l'exemple ci-dessus) doit être +augmentée.

+
+ +
+Si le certificat ne spécifie pas de répondeur OCSP, ou si une +adresse différente doit être utilisée +

Veuillez vous référer à la documentation de la directive SSLStaplingForceURL.

+ +

Vous pouvez vérifier si un certificat spécifie un répondeur OCSP en +utilisant la commande openssl comme suit :

+ +
+$ openssl x509 -in ./www.example.com.crt -text | grep 'OCSP.*http'
+OCSP - URI:http://ocsp.example.com
+
+ +

Si un URI OCSP est fourni et si le serveur web peut communiquer +directement avec lui sans passer par un mandataire, aucune modification +supplémentaire de la configuration n'est requise. Notez que les règles +du pare-feu qui contrôlent les connexions sortantes en provenance du +serveur web devront peut-être subir quelques ajustements.

+ +

Si aucun URI OCSP n'est fourni, contactez votre autorité de +certification pour savoir s'il en existe une ; si c'est le +cas, utilisez la directive SSLStaplingForceURL pour la spécifier dans +la configuration du serveur virtuel qui utilise le certificat.

+
+ +
+Si plusieurs serveurs virtuels sont configurés pour utiliser SSL +et si l'agrafage OCSP doit être désactivé pour certains d'entre eux + +

Ajoutez la directive SSLUseStapling Off à la +configuration des serveurs virtuels pour lesquels l'agrafage OCSP doit +être désactivé.

+
+ +
+Si le répondeur OCSP est lent ou instable +

De nombreuses directives permettent de gérer les temps de réponse et +les erreurs. Référez-vous à la documentation de SSLStaplingFakeTryLater, SSLStaplingResponderTimeout, et SSLStaplingReturnResponderErrors.

+
+ +
+ + +
Authentification du client et contrôle d'accès