Return-Path:
Description: | Fonctionnalités de base du serveur HTTP Apache toujours disponibles |
---|---|
Statut: | Core |
LimitRequestLine 4094-
Dans le cas des serveurs virtuels à base de noms, la valeur de
Modified: httpd/httpd/trunk/docs/manual/mod/core.xml.meta
URL: http://svn.apache.org/viewvc/httpd/httpd/trunk/docs/manual/mod/core.xml.meta?rev=1632817&r1=1632816&r2=1632817&view=diff
==============================================================================
--- httpd/httpd/trunk/docs/manual/mod/core.xml.meta (original)
+++ httpd/httpd/trunk/docs/manual/mod/core.xml.meta Sat Oct 18 16:29:36 2014
@@ -10,7 +10,7 @@
Ce document doit vous permettre de démarrer et de faire fonctionner @@ -37,6 +35,7 @@ manière plus approfondie.
Le protocole de contrôle du statut des certificats en ligne (Online +Certificate Status Protocol - OCSP) est un mécanisme permettant de +déterminer si un certificat a été révoqué ou non, et l'agrafage OCSP en +est une fonctionnalité particulière par laquelle le serveur, par exemple +httpd et mod_ssl, maintient une liste des réponses OCSP actuelles pour +ses certificats et l'envoie aux clients qui communiquent avec lui. La +plupart des certificats contiennent l'adresse d'un répondeur OCSP maintenu +par l'Autorité de Certification (CA) spécifiée, et mod_ssl peut requérir +ce répondeur pour obtenir une réponse signée qui peut être envoyée aux +clients qui communiquent avec le serveur.
+ +L'agrafage OCSP est la méthode la plus performante pour obtenir le +statut d'un certificat car il est disponible au niveau du serveur, et le +client n'a donc pas besoin d'ouvrir une nouvelle connexion vers +l'autorité de certification. Autres avantages de l'absence de +communication entre le client et l'autorité de certification : +l'autorité de certification n'a pas accès à l'historique de navigation +du client, et l'obtention du statut du certificat est plus efficace car +elle n'est plus assujettie à une surcharge éventuelle des serveurs de +l'autorité de certification.
+ +La charge du serveur est moindre car la réponse qu'il a obtenu du +répondeur OCSP peut être réutilisée par tous les clients qui utilisent +le même certificat dans la limite du temps de validité de la réponse.
+ +Une fois le support général SSL correctement configuré, l'activation +de l'agrafage OCSP ne requiert que des modifications mineures +à la configuration de httpd et il suffit en général de l'ajout de ces +deux directives :
+ +SSLUseStapling On +SSLStaplingCache "shmcb:ssl_stapling(32768)"+ + +
Ces directives sont placées de façon à ce qu'elles aient une portée
+globale (et particulièrement en dehors de toute section VirtualHost), le
+plus souvent où sont placées les autres directives de configuration
+globales SSL, comme conf/extra/httpd-ssl.conf
pour les
+installations de httpd à partir des sources, ou
+/etc/apache2/mods-enabled/ssl.conf
pour Ubuntu ou Debian,
+etc...
Les sections suivantes explicitent les situations courantes qui
+requièrent des modifications supplémentaires de la configuration. Vous
+pouvez aussi vous référer au manuel de référence de
+mod_ssl
.
Les réponses OCSP sont stockées dans le cache d'agrafage SSL. Alors +que les réponses ont une taille de quelques centaines à quelques +milliers d'octets, mod_ssl supporte des réponses d'une taille jusqu'à +environ 10 ko. Dans notre cas, le nombre de certificats est conséquent +et la taille du cache (32768 octets dans l'exemple ci-dessus) doit être +augmentée.
+ + +Veuillez vous référer à la documentation de la directive SSLStaplingForceURL
.
Vous pouvez vérifier si un certificat spécifie un répondeur OCSP en +utilisant la commande openssl comme suit :
+ +$ openssl x509 -in ./www.example.com.crt -text | grep 'OCSP.*http' +OCSP - URI:http://ocsp.example.com+ +
Si un URI OCSP est fourni et si le serveur web peut communiquer +directement avec lui sans passer par un mandataire, aucune modification +supplémentaire de la configuration n'est requise. Notez que les règles +du pare-feu qui contrôlent les connexions sortantes en provenance du +serveur web devront peut-être subir quelques ajustements.
+ +Si aucun URI OCSP n'est fourni, contactez votre autorité de
+certification pour savoir s'il en existe une ; si c'est le
+cas, utilisez la directive SSLStaplingForceURL
pour la spécifier dans
+la configuration du serveur virtuel qui utilise le certificat.
Ajoutez la directive SSLUseStapling Off
à la
+configuration des serveurs virtuels pour lesquels l'agrafage OCSP doit
+être désactivé.
De nombreuses directives permettent de gérer les temps de réponse et
+les erreurs. Référez-vous à la documentation de SSLStaplingFakeTryLater
, SSLStaplingResponderTimeout
, et SSLStaplingReturnResponderErrors
.