httpd-cvs mailing list archives

Site index · List index
Message view « Date » · « Thread »
Top « Date » · « Thread »
From rbo...@apache.org
Subject svn commit: r1673855 [35/37] - /httpd/httpd/branches/2.4.x/docs/manual/mod/
Date Wed, 15 Apr 2015 16:35:22 GMT
Modified: httpd/httpd/branches/2.4.x/docs/manual/mod/mod_ssl.html.fr
URL: http://svn.apache.org/viewvc/httpd/httpd/branches/2.4.x/docs/manual/mod/mod_ssl.html.fr?rev=1673855&r1=1673854&r2=1673855&view=diff
==============================================================================
--- httpd/httpd/branches/2.4.x/docs/manual/mod/mod_ssl.html.fr (original)
+++ httpd/httpd/branches/2.4.x/docs/manual/mod/mod_ssl.html.fr Wed Apr 15 16:35:10 2015
@@ -125,266 +125,6 @@ personnalisés</a></li>
 disponibles avec Require</a></li>
 </ul><ul class="seealso"><li><a href="#comments_section">Commentaires</a></li></ul></div>
 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="envvars" id="envvars">Variables d'environnement</a></h2>
-
-<p>Ce module peut être configuré pour fournir aux espaces de nommage SSI
-et CGI de nombreux éléments d'informations concernant SSL par le biais
-de variables d'environnement supplémentaires. Par défaut, et pour
-des raisons de performances, ces informations ne sont pas fournies (Voir
-la directive <code class="directive">SSLOptions</code> StdEnvVars ci-dessous).
-Les variables générées se trouvent dans la table ci-dessous.
-Ces informations peuvent également être disponible sous des noms différents
-à des fins de compatibilité ascendante. Reportez-vous au chapitre <a href="../ssl/ssl_compat.html">Compatibilité</a> pour plus de détails à
-propos des variables de compatibilité.</p>
-
-<table class="bordered">
-
-<tr>
- <th><a name="table3">Nom de la variable :</a></th>
- <th>Type de valeur :</th>
- <th>Description :</th>
-</tr>
-<tr><td><code>HTTPS</code></td>                         <td>drapeau</td>
-<td>HTTPS est utilisé.</td></tr>
-<tr><td><code>SSL_PROTOCOL</code></td>                  <td>chaîne</td>
-<td>La version du protocole SSL (SSLv3, TLSv1, TLSv1.1, TLSv1.2)</td></tr>
-<tr><td><code>SSL_SESSION_ID</code></td>                <td>chaîne</td>
-<td>L'identifiant de session SSL codé en hexadécimal</td></tr>
-<tr><td><code>SSL_SESSION_RESUMED</code></td>           <td>chaîne</td>
-<td>Session SSL initiale ou reprise. Note : plusieurs requêtes peuvent
-être servies dans le cadre de la même session SSL (initiale ou reprise)
-si les connexions persistantes (HTTP KeepAlive) sont utilisées</td></tr>
-<tr><td><code>SSL_SECURE_RENEG</code></td>              <td>chaîne</td>
-<td><code>true</code> si la renégociation sécurisée est supportée,
-<code>false</code> dans le cas contraire</td></tr>
-<tr><td><code>SSL_CIPHER</code></td>                    <td>chaîne</td>
-<td>Le nom de l'algorithme de chiffrement</td></tr>
-<tr><td><code>SSL_CIPHER_EXPORT</code></td>             <td>chaîne</td>
-<td><code>true</code> si l'algorithme de chiffrement est un algorithme
-exporté</td></tr>
-<tr><td><code>SSL_CIPHER_USEKEYSIZE</code></td>         <td>nombre</td>
-<td>Nombre de bits de chiffrement (réellement utilisés)</td></tr>
-<tr><td><code>SSL_CIPHER_ALGKEYSIZE</code></td>         <td>nombre</td>
-<td>Nombre de bits de chiffrement (possible)</td></tr>
-<tr><td><code>SSL_COMPRESS_METHOD</code></td>           <td>chaîne</td>
-<td>Méthode de compression SSL négociée</td></tr>
-
-<tr><td><code>SSL_VERSION_INTERFACE</code></td>         <td>chaîne</td>
-<td>La version du programme mod_ssl</td></tr>
-<tr><td><code>SSL_VERSION_LIBRARY</code></td>           <td>chaîne</td>
-<td>La version du programme OpenSSL</td></tr>
-<tr><td><code>SSL_CLIENT_M_VERSION</code></td>          <td>chaîne</td>
-<td>La version du certificat client</td></tr>
-<tr><td><code>SSL_CLIENT_M_SERIAL</code></td>           <td>chaîne</td>
-<td>Le numéro de série du certificat client</td></tr>
-<tr><td><code>SSL_CLIENT_S_DN</code></td>               <td>chaîne</td>
-<td>Le DN sujet du certificat client</td></tr>
-<tr><td><code>SSL_CLIENT_S_DN_</code><em>x509</em></td> <td>chaîne</td>
-<td>Elément du DN sujet du client</td></tr>
-<tr><td><code>SSL_CLIENT_I_DN</code></td>               <td>chaîne</td>
-<td>DN de l'émetteur du certificat du client</td></tr>
-<tr><td><code>SSL_CLIENT_I_DN_</code><em>x509</em></td> <td>chaîne</td>
-<td>Elément du DN de l'émetteur du certificat du client</td></tr>
-<tr><td><code>SSL_CLIENT_V_START</code></td>            <td>chaîne</td>
-<td>Validité du certificat du client (date de début)</td></tr>
-<tr><td><code>SSL_CLIENT_V_END</code></td>              <td>chaîne</td>
-<td>Validité du certificat du client (date de fin)</td></tr>
-<tr><td><code>SSL_CLIENT_V_REMAIN</code></td>           <td>chaîne</td>
-<td>Nombre de jours avant expiration du certificat du client</td></tr>
-<tr><td><code>SSL_CLIENT_A_SIG</code></td>              <td>chaîne</td>
-<td>Algorithme utilisé pour la signature du certificat du client</td></tr>
-<tr><td><code>SSL_CLIENT_A_KEY</code></td>              <td>chaîne</td>
-<td>Algorithme utilisé pour la clé publique du certificat du client</td></tr>
-<tr><td><code>SSL_CLIENT_CERT</code></td>               <td>chaîne</td>
-<td>Certificat du client au format PEM</td></tr>
-<tr><td><code>SSL_CLIENT_CERT_CHAIN_</code><em>n</em></td>
-<td>chaîne</td>    <td>Certificats de la chaîne de certification du
-client au format PEM</td></tr>
-<tr><td><code>SSL_CLIENT_CERT_RFC4523_CEA</code></td>   <td>chaîne</td>
-<td>Numéro de série et fournisseur du certificat. le format correspond à
-celui de la CertificateExactAssertion dans la RFC4523</td></tr>
-<tr><td><code>SSL_CLIENT_VERIFY</code></td>             <td>chaîne</td>
-<td><code>NONE</code>, <code>SUCCESS</code>, <code>GENEROUS</code> ou
-<code>FAILED:</code><em>raison</em></td></tr>
-<tr><td><code>SSL_SERVER_M_VERSION</code></td>          <td>chaîne</td>
-<td>La version du certificat du serveur</td></tr>
-<tr><td><code>SSL_SERVER_M_SERIAL</code></td>           <td>chaîne</td>    <td>
-
-The serial of the server certificate</td></tr>
-<tr><td><code>SSL_SERVER_S_DN</code></td>               <td>chaîne</td>
-<td>DN sujet du certificat du serveur</td></tr>
-<tr><td><code>SSL_SERVER_S_DN_</code><em>x509</em></td> <td>chaîne</td>
-<td>Elément du DN sujet du certificat du serveur</td></tr>
-<tr><td><code>SSL_SERVER_I_DN</code></td>               <td>chaîne</td>
-<td>DN de l'émetteur du certificat du serveur</td></tr>
-<tr><td><code>SSL_SERVER_I_DN_</code><em>x509</em></td> <td>chaîne</td>
-<td>Elément du DN de l'émetteur du certificat du serveur</td></tr>
-<tr><td><code>SSL_SERVER_V_START</code></td>            <td>chaîne</td>
-<td>Validité du certificat du serveur (date de dédut)</td></tr>
-<tr><td><code>SSL_SERVER_V_END</code></td>              <td>chaîne</td>
-<td>Validité du certificat du serveur (date de fin)</td></tr>
-<tr><td><code>SSL_SERVER_A_SIG</code></td>              <td>chaîne</td>
-<td>Algorithme utilisé pour la signature du certificat du serveur</td></tr>
-<tr><td><code>SSL_SERVER_A_KEY</code></td>              <td>chaîne</td>
-<td>Algorithme utilisé pour la clé publique du certificat du serveur</td></tr>
-<tr><td><code>SSL_SERVER_CERT</code></td>               <td>chaîne</td>
-<td>Certificat du serveur au format PEM</td></tr>
-<tr><td><code>SSL_SRP_USER</code></td>                  <td>chaîne</td>
-<td>nom d'utilisateur SRP</td></tr>
-<tr><td><code>SSL_SRP_USERINFO</code></td>              <td>chaîne</td>
-<td>informations sur l'utilisateur SRP</td></tr>
-<tr><td><code>SSL_TLS_SNI</code></td>                   <td>string</td>
-<td>Contenu de l'extension SNI TLS (si supporté par ClientHello)</td></tr>
-</table>
-
-<p><em>x509</em> spécifie un élément de DN X.509 parmi
-<code>C,ST,L,O,OU,CN,T,I,G,S,D,UID,Email</code>. A partir de la version
-2.1 d'Apache, <em>x509</em> peut aussi comporter un suffixe numérique
-<code>_n</code>. Si le DN en question comporte plusieurs attributs de
-noms identiques, ce suffixe constitue un index débutant à zéro et
-permettant de sélectionner un
-attribut particulier. Par exemple, si le DN sujet du certificat du
-serveur comporte deux champs OU, on peut utiliser
-<code>SSL_SERVER_S_DN_OU_0</code> et <code>SSL_SERVER_S_DN_OU_1</code>
-pour référencer chacun d'entre eux. Un nom de variable sans suffixe
-<code>_n</code> est équivalent au même nom avec le suffixe
-<code>_0</code>, ce qui correspond au premier attribut (ou au seul)
-caractérisant le DN.
-Lorsque la table d'environnement est remplie en utilisant l'option
-<code>StdEnvVars</code> de la directive <code class="directive"><a href="#ssloptions">SSLOptions</a></code>, le premier attribut (ou le
-seul) caractérisant le DN est enregistré avec un nom sans suffixe ;
-autrement dit, aucune entrée possédant comme suffixe <code>_0</code>
-n'est enregistrée.</p>
-
-<p>Le format des variables <em>*_DN</em> a changé depuis la version
-2.3.11 d'Apache HTTPD. Voir l'option <code>LegacyDNStringFormat</code>
-de la directive <code class="directive"><a href="#ssloptions">SSLOptions</a></code> pour
-plus de détails.</p>
-
-<p><code>SSL_CLIENT_V_REMAIN</code> n'est disponible qu'à partir de la
-version 2.1.</p>
-
-<p>Plusieurs variables d'environnement additionnelles peuvent être
-utilisées dans les expressions <code class="directive">SSLRequire</code>, ou
-dans les formats de journalisation personnalisés :</p>
-
-<div class="note"><pre>HTTP_USER_AGENT        PATH_INFO             AUTH_TYPE
-HTTP_REFERER           QUERY_STRING          SERVER_SOFTWARE
-HTTP_COOKIE            REMOTE_HOST           API_VERSION
-HTTP_FORWARDED         REMOTE_IDENT          TIME_YEAR
-HTTP_HOST              IS_SUBREQ             TIME_MON
-HTTP_PROXY_CONNECTION  DOCUMENT_ROOT         TIME_DAY
-HTTP_ACCEPT            SERVER_ADMIN          TIME_HOUR
-THE_REQUEST            SERVER_NAME           TIME_MIN
-REQUEST_FILENAME       SERVER_PORT           TIME_SEC
-REQUEST_METHOD         SERVER_PROTOCOL       TIME_WDAY
-REQUEST_SCHEME         REMOTE_ADDR           TIME
-REQUEST_URI            REMOTE_USER</pre></div>
-
-<p>Dans ces contextes, deux formats spéciaux peuvent aussi être utilisés
-:</p>
-
-<dl>
-  <dt><code>ENV:<em>nom_variable</em></code></dt>
-  <dd>Correspond à la variable d'environnement standard
-  <em>nom_variable</em>.</dd>
-
-  <dt><code>HTTP:<em>nom_en-tête</em></code></dt>
-  <dd>Correspond à la valeur de l'en-tête de requête dont le nom est
-  <em>nom_en-tête</em>.</dd>
-</dl>
-
-</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="logformats" id="logformats">Formats de journaux
-personnalisés</a></h2>
-
-<p>Lorsque <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> est compilé dans le serveur Apache
-ou même chargé (en mode DSO), des fonctions supplémentaires sont
-disponibles pour le <a href="mod_log_config.html#formats">Format de journal personnalisé</a> du
-module <code class="module"><a href="../mod/mod_log_config.html">mod_log_config</a></code>. A ce titre, la fonction de
-format d'eXtension ``<code>%{</code><em>nom-var</em><code>}x</code>''
-peut être utilisée pour présenter en extension toute variable fournie
-par tout module, et en particulier celles fournies par mod_ssl et que
-vous trouverez dans la table ci-dessus.</p>
-<p>
-A des fins de compatibilité ascendante, il existe une fonction de format
-cryptographique supplémentaire
-``<code>%{</code><em>nom</em><code>}c</code>''. Vous trouverez toutes
-les informations à propos de cette fonction dans le chapitre <a href="../ssl/ssl_compat.html">Compatibilité</a>.</p>
-<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">CustomLog logs/ssl_request_log "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b"</pre>
-</div>
-</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="notes" id="notes">Information à propos de la requête</a></h2>
-
-<p><code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> enregistre des informations à propos de la
-requête que l'on peut restituer dans les journaux avec la chaîne de
-format <code>%{<em>nom</em>}n</code> via le module
-<code class="module"><a href="../mod/mod_log_config.html">mod_log_config</a></code>.</p>
-
-<p>Les informations enregistrées sont les suivantes :</p>
-
-<dl>
-  <dt><code>ssl-access-forbidden</code></dt>
-  <dd>Cette information contient la valeur <code>1</code> si l'accès a
-  été refusé suite à une directive <code class="directive">SSLRequire</code> ou
-  <code class="directive">SSLRequireSSL</code>.</dd>
-
-  <dt><code>ssl-secure-reneg</code></dt>
-  <dd>Si <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> a été compilé avec une version
-  d'OpenSSL qui supporte la renégociation sécurisée, si SSL est utilisé
-  pour la connexion courante et si le client supporte lui aussi la
-  renégociation sécurisée, cette information contiendra la valeur
-  <code>1</code>. Si le client ne supporte pas la renégociation
-  sécurisée, l'information contiendra la valeur <code>0</code>. Si
-  <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> n'a pas été compilé avec une version
-  d'OpenSSL qui supporte la renégociation sécurisée, ou si SSL n'est pas
-  utilisé pour la connexion courante, le contenu de l'information ne
-  sera pas défini.</dd>
-</dl>
-
-</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="section">
-<h2><a name="authzproviders" id="authzproviders">Fournisseurs d'autorisation
-disponibles avec Require</a></h2>
-
-  <p><code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> propose quelques fournisseurs
-  d'autorisation à utiliser avec la directive <code class="directive"><a href="../mod/mod_authz_core.html#require">Require</a></code> du module
-  <code class="module"><a href="../mod/mod_authz_core.html">mod_authz_core</a></code>.</p>
-
-  <h3><a name="reqssl" id="reqssl">Require ssl</a></h3>
-
-    <p>Le fournisseur <code>ssl</code> refuse l'accès si une connexion
-    n'est pas chiffrée avec SSL. L'effet est similaire à celui de la
-    directive <code class="directive">SSLRequireSSL</code>.</p>
-
-
-    <pre class="prettyprint lang-config">Require ssl</pre>
-
-
-
-  
-
-  <h3><a name="reqverifyclient" id="reqverifyclient">Require ssl-verify-client</a></h3>
-
-    <p>Le fournisseur <code>ssl</code> autorise l'accès si
-    l'utilisateur est authentifié via un certificat client valide. Ceci
-    n'a un effet que si <code>SSLVerifyClient optional</code> est actif.</p>
-
-    <p>Dans l'exemple suivant, l'accès est autorisé si le client est
-    authentifié via un certificat client ou par nom d'utilisateur/mot de
-    passe :</p>
-
-    <pre class="prettyprint lang-config">      Require ssl-verify-client<br />
-      Require valid-user</pre>
-
-
-  
-
-</div>
-<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
 <div class="directive-section"><h2><a name="sslcacertificatefile" id="sslcacertificatefile">Directive</a> <a name="SSLCACertificateFile" id="SSLCACertificateFile">SSLCACertificateFile</a></h2>
 <table class="directive">
 <tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant une concaténation des certificats de CA
@@ -1614,1231 +1354,1491 @@ validation réussisse ; dans le cas cont
 erreur <code>"CRL introuvable"</code>.
 </p>
 </div>
-<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCARevocationCheck chain</pre>
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCARevocationCheck chain</pre>
+</div>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="sslproxycarevocationfile" id="sslproxycarevocationfile">Directive</a> <a name="SSLProxyCARevocationFile" id="SSLProxyCARevocationFile">SSLProxyCARevocationFile</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la concaténation des CRLs de CA codés en
+PEM pour l'authentification des serveurs distants</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCARevocationFile <em>chemin-fichier</em></code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
+</table>
+<p>
+Cette directive permet de définir le fichier <em>tout-en-un</em> où sont
+rassemblées les Listes de Révocation de Certificats (CRLs) des Autorités
+de certification (CAs) pour les <em>serveurs distants</em> auxquels vous
+avez à faire. On les utilise pour l'authentification des serveurs
+distants. Un tel fichier contient la simple concaténation des différents
+fichiers de CRLs codés en PEM, classés par ordre de préférence. Cette
+directive peut être utilisée à la place et/ou en complément de la
+directive <code class="directive"><a href="#sslproxycarevocationpath">SSLProxyCARevocationPath</a></code>.</p>
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCARevocationFile
+/usr/local/apache2/conf/ssl.crl/ca-bundle-serveur.distant.crl</pre>
+</div>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="sslproxycarevocationpath" id="sslproxycarevocationpath">Directive</a> <a name="SSLProxyCARevocationPath" id="SSLProxyCARevocationPath">SSLProxyCARevocationPath</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Répertoire des CRLs de CA codés en PEM pour
+l'authentification des serveurs distants</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCARevocationPath <em>chemin-répertoire</em></code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
+</table>
+<p>
+Cette directive permet de définir le répertoire où sont stockées les
+Listes de Révocation de Certificats (CRL) des Autorités de Certification
+(CAs) pour les serveurs distants auxquels vous avez à faire. On les
+utilise pour révoquer les certificats des serveurs distants au cours de
+l'authentification de ces derniers.</p>
+<p>
+Les fichiers de ce répertoire doivent être codés en PEM et ils sont
+accédés via des noms de fichier sous forme de condensés ou hash. Il ne
+suffit donc pas de placer les fichiers de CRL dans ce répertoire
+: vous devez aussi créer des liens symboliques nommés
+<em>valeur-de-hashage</em><code>.rN</code>, et vous devez toujours vous
+assurer que ce répertoire contient les liens symboliques appropriés.</p>
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCARevocationPath /usr/local/apache2/conf/ssl.crl/</pre>
+</div>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="sslproxycheckpeercn" id="sslproxycheckpeercn">Directive</a> <a name="SSLProxyCheckPeerCN" id="SSLProxyCheckPeerCN">SSLProxyCheckPeerCN</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configuration de la vérification du champ CN du certificat
+du serveur distant
+</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCheckPeerCN on|off</code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyCheckPeerCN on</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
+</table>
+<p>
+Cette directive permet de définir si le champ CN du certificat
+du serveur distant doit être comparé au nom de serveur de l'URL de la
+requête. S'ils ne correspondent pas, un
+code d'état 502 (Bad Gateway) est envoyé.
+</p>
+<p>
+A partir de la version 2.4.5, SSLProxyCheckPeerCN a été remplacé par <code class="directive"><a href="#sslproxycheckpeername">SSLProxyCheckPeerName</a></code>, et sa définition
+n'est prise en compte que si <code>SSLProxyCheckPeerName off</code> a
+été spécifié.
+</p>
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCheckPeerCN on</pre>
+</div>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="sslproxycheckpeerexpire" id="sslproxycheckpeerexpire">Directive</a> <a name="SSLProxyCheckPeerExpire" id="SSLProxyCheckPeerExpire">SSLProxyCheckPeerExpire</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configuration de la vérification de l'expiration du
+certificat du serveur distant
+</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCheckPeerExpire on|off</code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyCheckPeerExpire on</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
+</table>
+<p>
+Cette directive permet de définir si l'expiration du certificat du
+serveur distant doit être vérifiée ou non. Si la vérification échoue, un
+code d'état 502 (Bad Gateway) est envoyé.
+</p>
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCheckPeerExpire on</pre>
+</div>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="sslproxycheckpeername" id="sslproxycheckpeername">Directive</a> <a name="SSLProxyCheckPeerName" id="SSLProxyCheckPeerName">SSLProxyCheckPeerName</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configure la vérification du nom d'hôte dans les
+certificats serveur distants
+</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCheckPeerName on|off</code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyCheckPeerName on</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
+<tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.4.5 du serveur HTTP
+Apache</td></tr>
+</table>
+<p>
+Cette directive permet de configurer la vérification du nom d'hôte dans
+les certificats de serveur lorsque mod_ssl agit en tant que client SSL.
+La vérification est concluante si le nom d'hôte de l'URI de la requête
+correspond soit à l'extension subjectAltName, soit à l'un des attributs
+CN dans le sujet du certificat. Si la vérification échoue, la requête
+SSL est annulée et un code d'erreur 502 (Bad Gateway) est renvoyé. Cette
+directive remplace la directive <code class="directive"><a href="#sslproxycheckpeercn">SSLProxyCheckPeerCN</a></code> qui ne prenait en
+compte que le premier attribut CN pour la vérification du nom d'hôte.
+</p>
+<p>
+La vérification du nom d'hôte avec caractères générique est supportée de
+la manière suivante : les entrées subjectAltName de type dNSName ou les
+attributs CN commençant par <code>*.</code> correspondront à tout nom
+DNS comportant le même nombre d'éléments et le même suffixe (par
+exemple, <code>*.example.org</code> correspondra à
+<code>foo.example.org</code>, mais pas à
+<code>foo.bar.example.org</code>).
+</p>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="sslproxyciphersuite" id="sslproxyciphersuite">Directive</a> <a name="SSLProxyCipherSuite" id="SSLProxyCipherSuite">SSLProxyCipherSuite</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Algorithmes de chiffrement disponibles pour la négociation
+lors de l'initialisation d'une connexion SSL de mandataire</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCipherSuite <em>algorithmes</em></code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, répertoire, .htaccess</td></tr>
+<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
+</table>
+<p>Cette directive est équivalente à la directive
+<code>SSLCipherSuite</code>, mais s'applique à une connexion de
+mandataire. Veuillez vous reporter à la directive <code class="directive"><a href="#sslciphersuite">SSLCipherSuite</a></code> pour plus
+d'informations.</p>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="sslproxyengine" id="sslproxyengine">Directive</a> <a name="SSLProxyEngine" id="SSLProxyEngine">SSLProxyEngine</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Interrupteur marche/arrêt du moteur de mandataire
+SSL</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyEngine on|off</code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyEngine off</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
+</table>
+<p>
+Cette directive permet d'activer/désactiver l'utilisation du moteur de
+protocole SSL/TLS pour le mandataire. On l'utilise en général à
+l'intérieur d'une section <code class="directive"><a href="../mod/core.html#virtualhost">&lt;VirtualHost&gt;</a></code> pour activer le protocole SSL/TLS
+dans le cadre d'un mandataire pour un serveur virtuel particulier. Par
+défaut, le moteur de protocole SSL/TLS est désactivé pour la fonction de
+mandataire du serveur principal et de tous les serveurs virtuels
+configurés.</p>
+
+<p>Notez que la directive SSLProxyEngine ne doit généralement pas être
+utilisée dans le cadre d'un serveur virtuel qui agit en tant que
+mandataire direct (via les directives &lt;Proxy&gt; ou
+&lt;ProxyRequest&gt;). SSLProxyEngine n'est pas nécessaire pour activer
+un serveur mandataire direct pour les requêtes SSL/TLS.</p>
+
+
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">&lt;VirtualHost _default_:443&gt;
+    SSLProxyEngine on
+    #...
+&lt;/VirtualHost&gt;</pre>
+</div>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="sslproxymachinecertificatechainfile" id="sslproxymachinecertificatechainfile">Directive</a> <a name="SSLProxyMachineCertificateChainFile" id="SSLProxyMachineCertificateChainFile">SSLProxyMachineCertificateChainFile</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier de certificats de CA encodés PEM concaténés permettant au
+mandataire de choisir un certificat</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyMachineCertificateChainFile <em>nom-fichier</em></code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
+<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>Sans objet</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
+</table>
+<p>
+Cette directive permet de définir le fichier global où est enregistrée
+la chaîne de certification pour tous les certificats clients utilisés.
+Elle est nécessaire si le serveur distant présente une liste de
+certificats de CA qui ne sont pas les signataires directs d'un des
+certificats clients configurés.
+</p>
+<p>
+Ce fichier contient tout simplement la concaténation des différents
+fichiers de certificats encodés PEM. Au démarrage, chaque certificat
+client configuré est examiné et une chaîne de certification est
+construite.
+</p>
+<div class="warning"><h3>Avertissement en matière de sécurité</h3>
+<p>Si cette directive est définie, tous les certificats contenus dans le
+fichier spécifié seront considérés comme étant de confiance, comme s'ils
+étaient aussi désignés dans la directive <code class="directive"><a href="#sslproxycacertificatefile">SSLProxyCACertificateFile</a></code>.</p>
+</div>
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyMachineCertificateChainFile /usr/local/apache2/conf/ssl.crt/proxyCA.pem</pre>
+</div>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="sslproxymachinecertificatefile" id="sslproxymachinecertificatefile">Directive</a> <a name="SSLProxyMachineCertificateFile" id="SSLProxyMachineCertificateFile">SSLProxyMachineCertificateFile</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la concaténation des clés et certificats
+clients codés en PEM que le mandataire doit utiliser</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyMachineCertificateFile <em>chemin-fichier</em></code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
+<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>Sans objet</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
+</table>
+<p>
+Cette directive permet de définir le fichier tout-en-un où sont stockés
+les clés et certificats permettant au serveur mandataire de
+s'authentifier auprès des serveurs distants.
+</p>
+<p>
+Le fichier spécifié est la simple concaténation des différents fichiers
+de certificats codés en PEM, classés par ordre de préférence. Cette
+directive s'utilise à la place ou en complément de la directive
+<code>SSLProxyMachineCertificatePath</code>.
+</p>
+<div class="warning">
+<p>Actuellement, les clés privées chiffrées ne sont pas supportées.</p>
+</div>
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyMachineCertificateFile /usr/local/apache2/conf/ssl.crt/proxy.pem</pre>
 </div>
 
 </div>
 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="directive-section"><h2><a name="sslproxycarevocationfile" id="sslproxycarevocationfile">Directive</a> <a name="SSLProxyCARevocationFile" id="SSLProxyCARevocationFile">SSLProxyCARevocationFile</a></h2>
+<div class="directive-section"><h2><a name="sslproxymachinecertificatepath" id="sslproxymachinecertificatepath">Directive</a> <a name="SSLProxyMachineCertificatePath" id="SSLProxyMachineCertificatePath">SSLProxyMachineCertificatePath</a></h2>
 <table class="directive">
-<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la concaténation des CRLs de CA codés en
-PEM pour l'authentification des serveurs distants</td></tr>
-<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCARevocationFile <em>chemin-fichier</em></code></td></tr>
-<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Répertoire des clés et certificats clients codés en PEM que
+le mandataire doit utiliser</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyMachineCertificatePath <em>chemin-répertoire</em></code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
+<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>Sans objet</td></tr>
 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
 </table>
 <p>
-Cette directive permet de définir le fichier <em>tout-en-un</em> où sont
-rassemblées les Listes de Révocation de Certificats (CRLs) des Autorités
-de certification (CAs) pour les <em>serveurs distants</em> auxquels vous
-avez à faire. On les utilise pour l'authentification des serveurs
-distants. Un tel fichier contient la simple concaténation des différents
-fichiers de CRLs codés en PEM, classés par ordre de préférence. Cette
-directive peut être utilisée à la place et/ou en complément de la
-directive <code class="directive"><a href="#sslproxycarevocationpath">SSLProxyCARevocationPath</a></code>.</p>
-<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCARevocationFile
-/usr/local/apache2/conf/ssl.crl/ca-bundle-serveur.distant.crl</pre>
+Cette directive permet de définir le répertoire où sont stockés les clés
+et certificats permettant au serveur mandataire de s'authentifier auprès
+des serveurs distants.
+</p>
+<p>Les fichiers de ce répertoire doivent être codés en PEM et ils sont
+accédés via des noms de fichier sous forme de condensés ou hash. Vous
+devez donc aussi créer des liens symboliques nommés
+<em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous
+assurer que ce répertoire contient les liens symboliques appropriés.</p>
+<div class="warning">
+<p>Actuellement, les clés privées chiffrées ne sont pas supportées.</p>
+</div>
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyMachineCertificatePath /usr/local/apache2/conf/proxy.crt/</pre>
 </div>
 
 </div>
 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="directive-section"><h2><a name="sslproxycarevocationpath" id="sslproxycarevocationpath">Directive</a> <a name="SSLProxyCARevocationPath" id="SSLProxyCARevocationPath">SSLProxyCARevocationPath</a></h2>
+<div class="directive-section"><h2><a name="sslproxyprotocol" id="sslproxyprotocol">Directive</a> <a name="SSLProxyProtocol" id="SSLProxyProtocol">SSLProxyProtocol</a></h2>
 <table class="directive">
-<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Répertoire des CRLs de CA codés en PEM pour
-l'authentification des serveurs distants</td></tr>
-<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCARevocationPath <em>chemin-répertoire</em></code></td></tr>
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit les protocoles SSL disponibles pour la fonction de
+mandataire</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyProtocol [+|-]<em>protocole</em> ...</code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyProtocol all</code></td></tr>
 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
+<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>Options</td></tr>
 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
 </table>
+
 <p>
-Cette directive permet de définir le répertoire où sont stockées les
-Listes de Révocation de Certificats (CRL) des Autorités de Certification
-(CAs) pour les serveurs distants auxquels vous avez à faire. On les
-utilise pour révoquer les certificats des serveurs distants au cours de
-l'authentification de ces derniers.</p>
-<p>
-Les fichiers de ce répertoire doivent être codés en PEM et ils sont
-accédés via des noms de fichier sous forme de condensés ou hash. Il ne
-suffit donc pas de placer les fichiers de CRL dans ce répertoire
-: vous devez aussi créer des liens symboliques nommés
-<em>valeur-de-hashage</em><code>.rN</code>, et vous devez toujours vous
-assurer que ce répertoire contient les liens symboliques appropriés.</p>
-<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCARevocationPath /usr/local/apache2/conf/ssl.crl/</pre>
-</div>
+Cette directive permet de définir les protocoles SSL que mod_ssl peut
+utiliser lors de l'élaboration de son environnement de serveur pour la
+fonction de mandataire. Il ne se connectera qu'aux serveurs utilisant un
+des protocoles spécifiés.</p>
+<p>Veuillez vous reporter à la directive <code class="directive"><a href="#sslprotocol">SSLProtocol</a></code> pour plus d'informations.
+</p>
 
 </div>
 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="directive-section"><h2><a name="sslproxycheckpeercn" id="sslproxycheckpeercn">Directive</a> <a name="SSLProxyCheckPeerCN" id="SSLProxyCheckPeerCN">SSLProxyCheckPeerCN</a></h2>
+<div class="directive-section"><h2><a name="sslproxyverify" id="sslproxyverify">Directive</a> <a name="SSLProxyVerify" id="SSLProxyVerify">SSLProxyVerify</a></h2>
 <table class="directive">
-<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configuration de la vérification du champ CN du certificat
-du serveur distant
-</td></tr>
-<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCheckPeerCN on|off</code></td></tr>
-<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyCheckPeerCN on</code></td></tr>
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Niveau de vérification du certificat du serveur
+distant</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyVerify <em>niveau</em></code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyVerify none</code></td></tr>
 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
 </table>
+
+<p>Lorsqu'un mandataire est configuré pour faire suivre les requêtes
+vers un serveur SSL distant, cette directive permet de configurer la
+vérification du certificat de ce serveur distant.</p>
+
 <p>
-Cette directive permet de définir si le champ CN du certificat
-du serveur distant doit être comparé au nom de serveur de l'URL de la
-requête. S'ils ne correspondent pas, un
-code d'état 502 (Bad Gateway) est envoyé.
-</p>
-<p>
-A partir de la version 2.4.5, SSLProxyCheckPeerCN a été remplacé par <code class="directive"><a href="#sslproxycheckpeername">SSLProxyCheckPeerName</a></code>, et sa définition
-n'est prise en compte que si <code>SSLProxyCheckPeerName off</code> a
-été spécifié.
-</p>
-<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCheckPeerCN on</pre>
+Les valeurs de <em>niveau</em>x disponibles sont les suivantes :</p>
+<ul>
+<li><strong>none</strong>:
+     aucun certificat n'est requis pour le serveur distant</li>
+<li><strong>optional</strong>:
+     le serveur distant <em>peut</em> présenter un certificat valide</li>
+<li><strong>require</strong>:
+     le serveur distant <em>doit</em> présenter un certificat valide</li>
+<li><strong>optional_no_ca</strong>:
+     le serveur distant peut présenter un certificat valide<br />
+     mais il n'est pas nécessaire qu'il soit vérifiable (avec succès).</li>
+</ul>
+<p>En pratique, seuls les niveaux <strong>none</strong> et
+<strong>require</strong> sont vraiment intéressants, car le niveau
+<strong>optional</strong> ne fonctionne pas avec tous les serveurs, et
+le niveau <strong>optional_no_ca</strong> va tout à fait à l'encontre de
+l'idée que l'on peut se faire de l'authentification (mais peut tout de
+même être utilisé pour établir des pages de test SSL, etc...).</p>
+
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyVerify require</pre>
 </div>
 
 </div>
 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="directive-section"><h2><a name="sslproxycheckpeerexpire" id="sslproxycheckpeerexpire">Directive</a> <a name="SSLProxyCheckPeerExpire" id="SSLProxyCheckPeerExpire">SSLProxyCheckPeerExpire</a></h2>
+<div class="directive-section"><h2><a name="sslproxyverifydepth" id="sslproxyverifydepth">Directive</a> <a name="SSLProxyVerifyDepth" id="SSLProxyVerifyDepth">SSLProxyVerifyDepth</a></h2>
 <table class="directive">
-<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configuration de la vérification de l'expiration du
-certificat du serveur distant
-</td></tr>
-<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCheckPeerExpire on|off</code></td></tr>
-<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyCheckPeerExpire on</code></td></tr>
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Niveau de profondeur maximum dans les certificats de CA
+lors de la vérification du certificat du serveur distant</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyVerifyDepth <em>niveau</em></code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyVerifyDepth 1</code></td></tr>
 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
+<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
 </table>
 <p>
-Cette directive permet de définir si l'expiration du certificat du
-serveur distant doit être vérifiée ou non. Si la vérification échoue, un
-code d'état 502 (Bad Gateway) est envoyé.
-</p>
-<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyCheckPeerExpire on</pre>
+Cette directive permet de définir le niveau de profondeur maximum
+jusqu'auquel mod_ssl doit aller au cours de sa vérification avant de
+décider que le serveur distant ne possède pas de certificat valide.</p>
+<p>
+La profondeur correspond en fait au nombre maximum de fournisseurs de
+certificats intermédiaires, c'est à dire le nombre maximum de
+certificats
+de CA que l'on peut consulter lors de la vérification du certificat du
+serveur distant. Une profondeur de 0 signifie que seuls les certificats
+de serveurs distants auto-signés sont acceptés, et la profondeur par
+défaut de 1 que le certificat du serveur distant peut être soit
+auto-signé, soit signé par une CA connue directement du serveur (en
+d'autres termes, le certificat de CA est référencé par la directive
+<code class="directive"><a href="#sslproxycacertificatepath">SSLProxyCACertificatePath</a></code>),
+etc...</p>
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyVerifyDepth 10</pre>
 </div>
 
 </div>
 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="directive-section"><h2><a name="sslproxycheckpeername" id="sslproxycheckpeername">Directive</a> <a name="SSLProxyCheckPeerName" id="SSLProxyCheckPeerName">SSLProxyCheckPeerName</a></h2>
+<div class="directive-section"><h2><a name="sslrandomseed" id="sslrandomseed">Directive</a> <a name="SSLRandomSeed" id="SSLRandomSeed">SSLRandomSeed</a></h2>
 <table class="directive">
-<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configure la vérification du nom d'hôte dans les
-certificats serveur distants
-</td></tr>
-<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCheckPeerName on|off</code></td></tr>
-<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyCheckPeerName on</code></td></tr>
-<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Source de déclenchement du Générateur de Nombres
+Pseudo-Aléatoires (PRNG)</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLRandomSeed <em>contexte</em> <em>source</em>
+[<em>nombre</em>]</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
-<tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>Disponible à partir de la version 2.4.5 du serveur HTTP
-Apache</td></tr>
 </table>
 <p>
-Cette directive permet de configurer la vérification du nom d'hôte dans
-les certificats de serveur lorsque mod_ssl agit en tant que client SSL.
-La vérification est concluante si le nom d'hôte de l'URI de la requête
-correspond soit à l'extension subjectAltName, soit à l'un des attributs
-CN dans le sujet du certificat. Si la vérification échoue, la requête
-SSL est annulée et un code d'erreur 502 (Bad Gateway) est renvoyé. Cette
-directive remplace la directive <code class="directive"><a href="#sslproxycheckpeercn">SSLProxyCheckPeerCN</a></code> qui ne prenait en
-compte que le premier attribut CN pour la vérification du nom d'hôte.
-</p>
+Cette directive permet de définir une ou plusieurs sources de
+déclenchement du Générateur de Nombres Pseudo-Aléatoires (PRNG) dans
+OpenSSL au démarrage du serveur (si <em>contexte</em> a pour valeur
+<code>startup</code>) et/ou juste avant l'établissement d'une nouvelle
+connexion SSL (si <em>contexte</em> a pour valeur <code>connect</code>).
+Cette directive ne peut être utilisée qu'au niveau du serveur global car
+le PRNG est un service global.</p>
 <p>
-La vérification du nom d'hôte avec caractères générique est supportée de
-la manière suivante : les entrées subjectAltName de type dNSName ou les
-attributs CN commençant par <code>*.</code> correspondront à tout nom
-DNS comportant le même nombre d'éléments et le même suffixe (par
-exemple, <code>*.example.org</code> correspondra à
-<code>foo.example.org</code>, mais pas à
-<code>foo.bar.example.org</code>).
-</p>
+Les différentes valeurs de <em>source</em> disponibles sont :</p>
+<ul>
+<li><code>builtin</code>
+    <p>Cette source de déclenchement intégrée est toujours disponible.
+    Son utilisation consomme un minimum de cycles CPU en cours
+    d'exécution, et son utilisation ne présente de ce fait aucun
+    problème. La source utilisée pour déclencher le PRNG contient la
+    date courante, l'identifiant du processus courant et (si disponible)
+    un extrait de 1Ko aléatoirement choisi de la structure d'Apache pour
+    les échanges inter-processus. Ceci présente un inconvénient car le
+    caractère aléatoire de cette source n'est pas vraiment fort, et au
+    démarrage (lorsque la structure d'échanges n'est pas encore
+    disponible), cette source ne produit que quelques octets d'entropie.
+    Vous devez donc toujours utiliser une source de déclenchement
+    additionnelle, au moins pour le démarrage.</p></li>
+<li><code>file:/chemin/vers/source</code>
+    <p>
+    Cette variante utilise un fichier externe
+    <code>file:/chemin/vers/source</code> comme source de déclenchement
+    du PRNG. Lorsque <em>nombre</em> est spécifié, seuls les
+    <em>nombre</em> premiers octets du fichier forment l'entropie (et
+    <em>nombre</em> est fourni comme premier argument à
+    <code>/chemin/vers/source</code>). Lorsque <em>nombre</em> n'est pas
+    spécifié, l'ensemble du fichier forme l'entropie (et <code>0</code>
+    est fourni comme premier argument à
+    <code>/chemin/vers/source</code>). Utilisez cette source en
+    particulier au démarrage, par exemple avec un fichier de
+    périphérique <code>/dev/random</code> et/ou
+    <code>/dev/urandom</code> (qui sont en général présent sur les
+    plate-formes dérivées d'Unix modernes comme FreeBSD et Linux).</p>
+    <p><em>Soyez cependant prudent</em> : en général,
+    <code>/dev/random</code> ne fournit que l'entropie dont il dispose
+    réellement ; en d'autres termes, lorsque vous demandez 512 octets
+    d'entropie, si le périphérique ne dispose que de 100 octets, deux
+    choses peuvent se produire : sur certaines plates-formes, vous ne
+    recevez que les 100 octets, alors que sur d'autres, la lecture se
+    bloque jusqu'à ce qu'un nombre suffisant d'octets soit disponible
+    (ce qui peut prendre beaucoup de temps). Il est préférable ici
+    d'utiliser le périphérique <code>/dev/urandom</code>, car il ne se
+    bloque jamais et fournit vraiment la quantité de données demandées.
+    Comme inconvénient, les données reçues ne sont pas forcément de la
+    meilleure qualité.</p></li>
 
+<li><code>exec:/chemin/vers/programme</code>
+    <p>
+    Cette variante utilise un exécutable externe
+    <code>/chemin/vers/programme</code> comme source de déclenchement du
+    PRNG. Lorsque <em>nombre</em> est spécifié, seules les
+    <em>nombre</em> premiers octets de son flux <code>stdout</code>
+    forment l'entropie. Lorsque <em>nombre</em> n'est pas spécifié,
+    l'intégralité des données produites sur <code>stdout</code> forment
+    l'entropie. N'utilisez cette variante qu'au démarrage où une source
+    de déclenchement fortement aléatoire est nécessaire, en utilisant
+    un programme externe (comme dans l'exemple
+    ci-dessous avec l'utilitaire <code>truerand</code> basé sur la
+    bibliothèque <em>truerand</em> de AT&amp;T que vous trouverez
+    dans la distribution de mod_ssl). Bien entendu, l'utilisation de
+    cette variante dans un contexte "connection" ralentit le serveur de
+    manière trop importante, et en général, vous devez donc éviter
+    d'utiliser des programmes externes dans ce contexte.</p></li>
+<li><code>egd:/chemin/vers/socket-egd</code> (Unix seulement)
+    <p>Cette variante utilise le socket de domaine Unix du Démon
+    Générateur d'Entropie externe ou Entropy Gathering Daemon ou EGD
+    (voir <a href="http://www.lothar.com/tech/crypto/">http://www.lothar.com/tech
+    /crypto/</a>) pour déclencher le PRNG. N'utilisez cette variante que
+    si votre plate-forme ne possède pas de périphérique random ou
+    urandom.</p></li>
+</ul>
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRandomSeed startup builtin
+SSLRandomSeed startup file:/dev/random
+SSLRandomSeed startup file:/dev/urandom 1024
+SSLRandomSeed startup exec:/usr/local/bin/truerand 16
+SSLRandomSeed connect builtin
+SSLRandomSeed connect file:/dev/random
+SSLRandomSeed connect file:/dev/urandom 1024</pre>
 </div>
-<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="directive-section"><h2><a name="sslproxyciphersuite" id="sslproxyciphersuite">Directive</a> <a name="SSLProxyCipherSuite" id="SSLProxyCipherSuite">SSLProxyCipherSuite</a></h2>
-<table class="directive">
-<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Algorithmes de chiffrement disponibles pour la négociation
-lors de l'initialisation d'une connexion SSL de mandataire</td></tr>
-<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyCipherSuite <em>algorithmes</em></code></td></tr>
-<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyCipherSuite ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+EXP</code></td></tr>
-<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel, répertoire, .htaccess</td></tr>
-<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
-<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
-<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
-</table>
-<p>Cette directive est équivalente à la directive
-<code>SSLCipherSuite</code>, mais s'applique à une connexion de
-mandataire. Veuillez vous reporter à la directive <code class="directive"><a href="#sslciphersuite">SSLCipherSuite</a></code> pour plus
-d'informations.</p>
 
 </div>
 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="directive-section"><h2><a name="sslproxyengine" id="sslproxyengine">Directive</a> <a name="SSLProxyEngine" id="SSLProxyEngine">SSLProxyEngine</a></h2>
+<div class="directive-section"><h2><a name="sslrenegbuffersize" id="sslrenegbuffersize">Directive</a> <a name="SSLRenegBufferSize" id="SSLRenegBufferSize">SSLRenegBufferSize</a></h2>
 <table class="directive">
-<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Interrupteur marche/arrêt du moteur de mandataire
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit la taille du tampon de renégociation
 SSL</td></tr>
-<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyEngine on|off</code></td></tr>
-<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyEngine off</code></td></tr>
-<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLRenegBufferSize <var>taille</var></code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLRenegBufferSize 131072</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr>
+<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
 </table>
-<p>
-Cette directive permet d'activer/désactiver l'utilisation du moteur de
-protocole SSL/TLS pour le mandataire. On l'utilise en général à
-l'intérieur d'une section <code class="directive"><a href="../mod/core.html#virtualhost">&lt;VirtualHost&gt;</a></code> pour activer le protocole SSL/TLS
-dans le cadre d'un mandataire pour un serveur virtuel particulier. Par
-défaut, le moteur de protocole SSL/TLS est désactivé pour la fonction de
-mandataire du serveur principal et de tous les serveurs virtuels
-configurés.</p>
 
-<p>Notez que la directive SSLProxyEngine ne doit généralement pas être
-utilisée dans le cadre d'un serveur virtuel qui agit en tant que
-mandataire direct (via les directives &lt;Proxy&gt; ou
-&lt;ProxyRequest&gt;). SSLProxyEngine n'est pas nécessaire pour activer
-un serveur mandataire direct pour les requêtes SSL/TLS.</p>
+<p>Si une renégociation SSL est requise dans un contexte de répertoire,
+par exemple avec l'utilisation de <code class="directive"><a href="#sslverifyclient">SSLVerifyClient</a></code> dans un bloc Directory ou
+Location, mod_ssl doit mettre en tampon en mémoire tout corps de requête
+HTTP en attendant qu'une nouvelle initialisation de connexion SSL puisse
+être effectuée. Cette directive permet de définir la quantité de mémoire
+à allouer pour ce tampon.</p>
 
+<div class="warning"><p>
+Notez que dans de nombreuses configurations, le client qui envoie un
+corps de requête n'est pas forcément digne de confiance, et l'on doit
+par conséquent prendre en considération la possibilité d'une attaque de
+type déni de service lorsqu'on modifie la valeur de cette directive.
+</p></div>
 
-<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">&lt;VirtualHost _default_:443&gt;
-    SSLProxyEngine on
-    #...
-&lt;/VirtualHost&gt;</pre>
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRenegBufferSize 262144</pre>
 </div>
 
 </div>
 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="directive-section"><h2><a name="sslproxymachinecertificatechainfile" id="sslproxymachinecertificatechainfile">Directive</a> <a name="SSLProxyMachineCertificateChainFile" id="SSLProxyMachineCertificateChainFile">SSLProxyMachineCertificateChainFile</a></h2>
+<div class="directive-section"><h2><a name="sslrequire" id="sslrequire">Directive</a> <a name="SSLRequire" id="SSLRequire">SSLRequire</a></h2>
 <table class="directive">
-<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier de certificats de CA encodés PEM concaténés permettant au
-mandataire de choisir un certificat</td></tr>
-<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyMachineCertificateChainFile <em>nom-fichier</em></code></td></tr>
-<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
-<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>Sans objet</td></tr>
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>N'autorise l'accès que lorsqu'une expression booléenne
+complexe et arbitraire est vraie</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLRequire <em>expression</em></code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr>
+<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
 </table>
-<p>
-Cette directive permet de définir le fichier global où est enregistrée
-la chaîne de certification pour tous les certificats clients utilisés.
-Elle est nécessaire si le serveur distant présente une liste de
-certificats de CA qui ne sont pas les signataires directs d'un des
-certificats clients configurés.
-</p>
-<p>
-Ce fichier contient tout simplement la concaténation des différents
-fichiers de certificats encodés PEM. Au démarrage, chaque certificat
-client configuré est examiné et une chaîne de certification est
-construite.
-</p>
-<div class="warning"><h3>Avertissement en matière de sécurité</h3>
-<p>Si cette directive est définie, tous les certificats contenus dans le
-fichier spécifié seront considérés comme étant de confiance, comme s'ils
-étaient aussi désignés dans la directive <code class="directive"><a href="#sslproxycacertificatefile">SSLProxyCACertificateFile</a></code>.</p>
-</div>
-<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyMachineCertificateChainFile /usr/local/apache2/conf/ssl.crt/proxyCA.pem</pre>
-</div>
+<div class="note"><h3>SSLRequire est obsolète</h3>
+<p><code>SSLRequire</code> est obsolète et doit en général être
+remplacée par l'expression <a href="mod_authz_core.html#reqexpr">Require</a>. La syntaxe <a href="../expr.html">ap_expr</a> de l'expression <code>Require</code> est
+une extension de la syntaxe de <code>SSLRequire</code>, avec les
+différences suivantes :</p>
 
-</div>
-<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="directive-section"><h2><a name="sslproxymachinecertificatefile" id="sslproxymachinecertificatefile">Directive</a> <a name="SSLProxyMachineCertificateFile" id="SSLProxyMachineCertificateFile">SSLProxyMachineCertificateFile</a></h2>
-<table class="directive">
-<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Fichier contenant la concaténation des clés et certificats
-clients codés en PEM que le mandataire doit utiliser</td></tr>
-<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyMachineCertificateFile <em>chemin-fichier</em></code></td></tr>
-<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
-<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>Sans objet</td></tr>
-<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
-<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
-</table>
-<p>
-Cette directive permet de définir le fichier tout-en-un où sont stockés
-les clés et certificats permettant au serveur mandataire de
-s'authentifier auprès des serveurs distants.
-</p>
-<p>
-Le fichier spécifié est la simple concaténation des différents fichiers
-de certificats codés en PEM, classés par ordre de préférence. Cette
-directive s'utilise à la place ou en complément de la directive
-<code>SSLProxyMachineCertificatePath</code>.
+<p>Avec <code>SSLRequire</code>, les opérateurs de comparaison
+<code>&lt;</code>, <code>&lt;=</code>, ... sont strictement équivalents
+aux opérateurs <code>lt</code>, <code>le</code>, ... , et fonctionnent
+selon une méthode qui compare tout d'abord la longueur des deux chaînes,
+puis l'ordre alphabétique. Les expressions <a href="../expr.html">ap_expr</a>, quant à elles, possèdent deux jeux
+d'opérateurs de comparaison : les opérateurs <code>&lt;</code>,
+<code>&lt;=</code>, ... effectuent une comparaison alphabétique de
+chaînes, alors que les opérateurs <code>-lt</code>, <code>-le</code>,
+... effectuent une comparaison d'entiers. Ces derniers possèdent aussi
+des alias sans tiret initial : <code>lt</code>, <code>le</code>, ...
 </p>
-<div class="warning">
-<p>Actuellement, les clés privées chiffrées ne sont pas supportées.</p>
-</div>
-<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyMachineCertificateFile /usr/local/apache2/conf/ssl.crt/proxy.pem</pre>
-</div>
 
 </div>
-<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="directive-section"><h2><a name="sslproxymachinecertificatepath" id="sslproxymachinecertificatepath">Directive</a> <a name="SSLProxyMachineCertificatePath" id="SSLProxyMachineCertificatePath">SSLProxyMachineCertificatePath</a></h2>
-<table class="directive">
-<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Répertoire des clés et certificats clients codés en PEM que
-le mandataire doit utiliser</td></tr>
-<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyMachineCertificatePath <em>chemin-répertoire</em></code></td></tr>
-<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
-<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>Sans objet</td></tr>
-<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
-<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
-</table>
+
+<p>Cette directive permet de spécifier une condition générale d'accès
+qui doit être entièrement satisfaite pour que l'accès soit autorisé.
+C'est une directive très puissante, car la condition d'accès spécifiée
+est une expression booléenne complexe et arbitraire contenant un nombre
+quelconque de vérifications quant aux autorisations d'accès.</p>
 <p>
-Cette directive permet de définir le répertoire où sont stockés les clés
-et certificats permettant au serveur mandataire de s'authentifier auprès
-des serveurs distants.
-</p>
-<p>Les fichiers de ce répertoire doivent être codés en PEM et ils sont
-accédés via des noms de fichier sous forme de condensés ou hash. Vous
-devez donc aussi créer des liens symboliques nommés
-<em>valeur-de-hashage</em><code>.N</code>, et vous devez toujours vous
-assurer que ce répertoire contient les liens symboliques appropriés.</p>
-<div class="warning">
-<p>Actuellement, les clés privées chiffrées ne sont pas supportées.</p>
-</div>
-<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyMachineCertificatePath /usr/local/apache2/conf/proxy.crt/</pre>
-</div>
+L'<em>expression</em> doit respecter la syntaxe suivante (fournie ici
+sous la forme d'une notation dans le style de la grammaire BNF) :</p>
+<blockquote>
+<pre>expr     ::= "<strong>true</strong>" | "<strong>false</strong>"
+           | "<strong>!</strong>" expr
+           | expr "<strong>&amp;&amp;</strong>" expr
+           | expr "<strong>||</strong>" expr
+           | "<strong>(</strong>" expr "<strong>)</strong>"
+           | comp
 
-</div>
-<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="directive-section"><h2><a name="sslproxyprotocol" id="sslproxyprotocol">Directive</a> <a name="SSLProxyProtocol" id="SSLProxyProtocol">SSLProxyProtocol</a></h2>
-<table class="directive">
-<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Définit les protocoles SSL disponibles pour la fonction de
-mandataire</td></tr>
-<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyProtocol [+|-]<em>protocole</em> ...</code></td></tr>
-<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyProtocol all</code></td></tr>
-<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
-<tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>Options</td></tr>
-<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
-<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
-</table>
+comp     ::= word "<strong>==</strong>" word | word "<strong>eq</strong>" word
+           | word "<strong>!=</strong>" word | word "<strong>ne</strong>" word
+           | word "<strong>&lt;</strong>"  word | word "<strong>lt</strong>" word
+           | word "<strong>&lt;=</strong>" word | word "<strong>le</strong>" word
+           | word "<strong>&gt;</strong>"  word | word "<strong>gt</strong>" word
+           | word "<strong>&gt;=</strong>" word | word "<strong>ge</strong>" word
+           | word "<strong>in</strong>" "<strong>{</strong>" wordlist "<strong>}</strong>"
+           | word "<strong>in</strong>" "<strong>PeerExtList(</strong>" word "<strong>)</strong>"
+           | word "<strong>=~</strong>" regex
+           | word "<strong>!~</strong>" regex
 
-<p>
-Cette directive permet de définir les protocoles SSL que mod_ssl peut
-utiliser lors de l'élaboration de son environnement de serveur pour la
-fonction de mandataire. Il ne se connectera qu'aux serveurs utilisant un
-des protocoles spécifiés.</p>
-<p>Veuillez vous reporter à la directive <code class="directive"><a href="#sslprotocol">SSLProtocol</a></code> pour plus d'informations.
-</p>
+wordlist ::= word
+           | wordlist "<strong>,</strong>" word
+
+word     ::= digit
+           | cstring
+           | variable
+           | function
+
+digit    ::= [0-9]+
+cstring  ::= "..."
+variable ::= "<strong>%{</strong>" varname "<strong>}</strong>"
+function ::= funcname "<strong>(</strong>" funcargs "<strong>)</strong>"</pre>
+</blockquote>
+<p>Pour <code>varname</code>, toute variable décrite dans <a href="#envvars">Variables d'environnement</a> pourra être utilisée.
+Pour <code>funcname</code>, vous trouverez la liste des fonctions
+disponibles dans la <a href="../expr.html#functions">documentation
+ap_expr</a>.</p>
 
+<p><em>expression</em> est interprétée et traduite
+sous une forme machine interne lors du chargement de la configuration,
+puis évaluée lors du traitement de la requête. Dans le contexte des
+fichiers .htaccess, <em>expression</em> est interprétée et exécutée
+chaque fois que le fichier .htaccess intervient lors du traitement de la
+requête.</p>
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRequire (    %{SSL_CIPHER} !~ m/^(EXP|NULL)-/                   \
+            and %{SSL_CLIENT_S_DN_O} eq "Snake Oil, Ltd."          \
+            and %{SSL_CLIENT_S_DN_OU} in {"Staff", "CA", "Dev"}    \
+            and %{TIME_WDAY} -ge 1 and %{TIME_WDAY} -le 5          \
+            and %{TIME_HOUR} -ge 8 and %{TIME_HOUR} -le 20       ) \
+           or %{REMOTE_ADDR} =~ m/^192\.76\.162\.[0-9]+$/</pre>
 </div>
-<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="directive-section"><h2><a name="sslproxyverify" id="sslproxyverify">Directive</a> <a name="SSLProxyVerify" id="SSLProxyVerify">SSLProxyVerify</a></h2>
-<table class="directive">
-<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Niveau de vérification du certificat du serveur
-distant</td></tr>
-<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyVerify <em>niveau</em></code></td></tr>
-<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyVerify none</code></td></tr>
-<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
-<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
-<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
-</table>
 
-<p>Lorsqu'un mandataire est configuré pour faire suivre les requêtes
-vers un serveur SSL distant, cette directive permet de configurer la
-vérification du certificat de ce serveur distant.</p>
 
-<p>
-Les valeurs de <em>niveau</em>x disponibles sont les suivantes :</p>
+<p>La fonction <code>PeerExtList(<em>identifiant objet</em>)</code>
+recherche une instance d'extension de certificat X.509 identifiée par
+<em>identifiant objet</em> (OID) dans le certificat client. L'expression est
+évaluée à true si la partie gauche de la chaîne correspond exactement à
+la valeur d'une extension identifiée par cet OID (Si plusieurs
+extensions possèdent le même OID, l'une d'entre elles au moins doit
+correspondre).
+</p>
+
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRequire "foobar" in PeerExtList("1.2.3.4.5.6")</pre>
+</div>
+
+<div class="note"><h3>Notes à propos de la fonction PeerExtList</h3>
+
 <ul>
-<li><strong>none</strong>:
-     aucun certificat n'est requis pour le serveur distant</li>
-<li><strong>optional</strong>:
-     le serveur distant <em>peut</em> présenter un certificat valide</li>
-<li><strong>require</strong>:
-     le serveur distant <em>doit</em> présenter un certificat valide</li>
-<li><strong>optional_no_ca</strong>:
-     le serveur distant peut présenter un certificat valide<br />
-     mais il n'est pas nécessaire qu'il soit vérifiable (avec succès).</li>
-</ul>
-<p>En pratique, seuls les niveaux <strong>none</strong> et
-<strong>require</strong> sont vraiment intéressants, car le niveau
-<strong>optional</strong> ne fonctionne pas avec tous les serveurs, et
-le niveau <strong>optional_no_ca</strong> va tout à fait à l'encontre de
-l'idée que l'on peut se faire de l'authentification (mais peut tout de
-même être utilisé pour établir des pages de test SSL, etc...).</p>
 
-<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyVerify require</pre>
+<li><p>L'identifiant objet peut être spécifié soit comme un nom
+descriptif reconnu par la bibliothèque SSL, tel que
+<code>"nsComment"</code>, soit comme un OID numérique tel que
+<code>"1.2.3.4.5.6"</code>.</p></li>
+
+<li><p>Les expressions contenant des types connus de la bibliothèque
+SSL sont transformées en chaînes avant comparaison. Pour les extensions
+contenant un type non connu de la bibliothèque SSL, mod_ssl va essayer
+d'interpréter la valeur s'il s'agit d'un des types ASN.1 primaires UTF8String,
+IA5String, VisibleString, ou BMPString. Si l'extension correspond à un
+de ces types, la chaîne sera convertie en UTF-8 si nécessaire, puis
+comparée avec la partie gauche de l'expression.</p></li>
+
+</ul>
 </div>
 
+
+<h3>Voir aussi</h3>
+<ul>
+<li><a href="../env.html">Les variables d'environnement dans le
+serveur HTTP Apache</a>, pour d'autres exemples.
+</li>
+<li><a href="mod_authz_core.html#reqexpr">Require expr</a></li>
+<li><a href="../expr.html">Syntaxe générale des expressions dans le
+serveur HTTP Apache</a>
+</li>
+</ul>
 </div>
 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="directive-section"><h2><a name="sslproxyverifydepth" id="sslproxyverifydepth">Directive</a> <a name="SSLProxyVerifyDepth" id="SSLProxyVerifyDepth">SSLProxyVerifyDepth</a></h2>
+<div class="directive-section"><h2><a name="sslrequiressl" id="sslrequiressl">Directive</a> <a name="SSLRequireSSL" id="SSLRequireSSL">SSLRequireSSL</a></h2>
 <table class="directive">
-<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Niveau de profondeur maximum dans les certificats de CA
-lors de la vérification du certificat du serveur distant</td></tr>
-<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLProxyVerifyDepth <em>niveau</em></code></td></tr>
-<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLProxyVerifyDepth 1</code></td></tr>
-<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Interdit l'accès lorsque la requête HTTP n'utilise pas
+SSL</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLRequireSSL</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>répertoire, .htaccess</td></tr>
 <tr><th><a href="directive-dict.html#Override">AllowOverride:</a></th><td>AuthConfig</td></tr>
 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
 </table>
 <p>
-Cette directive permet de définir le niveau de profondeur maximum
-jusqu'auquel mod_ssl doit aller au cours de sa vérification avant de
-décider que le serveur distant ne possède pas de certificat valide.</p>
-<p>
-La profondeur correspond en fait au nombre maximum de fournisseurs de
-certificats intermédiaires, c'est à dire le nombre maximum de
-certificats
-de CA que l'on peut consulter lors de la vérification du certificat du
-serveur distant. Une profondeur de 0 signifie que seuls les certificats
-de serveurs distants auto-signés sont acceptés, et la profondeur par
-défaut de 1 que le certificat du serveur distant peut être soit
-auto-signé, soit signé par une CA connue directement du serveur (en
-d'autres termes, le certificat de CA est référencé par la directive
-<code class="directive"><a href="#sslproxycacertificatepath">SSLProxyCACertificatePath</a></code>),
-etc...</p>
-<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLProxyVerifyDepth 10</pre>
+Cette directive interdit l'accès si HTTP sur SSL (c'est à dire HTTPS)
+n'est pas activé pour la connexion courante. Ceci est très pratique dans
+un serveur virtuel où SSL est activé ou dans un répertoire pour se
+protéger des erreurs de configuration qui pourraient donner accès à des
+ressources protégées. Lorsque cette directive est présente, toutes les
+requêtes qui n'utilisent pas SSL sont rejetées.</p>
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRequireSSL</pre>
 </div>
 
 </div>
 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
-<div class="directive-section"><h2><a name="sslrandomseed" id="sslrandomseed">Directive</a> <a name="SSLRandomSeed" id="SSLRandomSeed">SSLRandomSeed</a></h2>
+<div class="directive-section"><h2><a name="sslsessioncache" id="sslsessioncache">Directive</a> <a name="SSLSessionCache" id="SSLSessionCache">SSLSessionCache</a></h2>
 <table class="directive">
-<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Source de déclenchement du Générateur de Nombres
-Pseudo-Aléatoires (PRNG)</td></tr>
-<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLRandomSeed <em>contexte</em> <em>source</em>
-[<em>nombre</em>]</code></td></tr>
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Type du cache de session SSL global et
+inter-processus</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLSessionCache <em>type</em></code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLSessionCache none</code></td></tr>
 <tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
 <tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
 <tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
 </table>
 <p>
-Cette directive permet de définir une ou plusieurs sources de
-déclenchement du Générateur de Nombres Pseudo-Aléatoires (PRNG) dans
-OpenSSL au démarrage du serveur (si <em>contexte</em> a pour valeur
-<code>startup</code>) et/ou juste avant l'établissement d'une nouvelle
-connexion SSL (si <em>contexte</em> a pour valeur <code>connect</code>).
-Cette directive ne peut être utilisée qu'au niveau du serveur global car
-le PRNG est un service global.</p>
+Cette directive permet de configurer le type de stockage du cache de
+session SSL global et inter-processus. Ce cache est une fonctionnalité
+optionnelle qui accélère le traitement parallèle des requêtes. Pour ce
+qui est des requêtes vers un même processus du serveur (via HTTP
+keep-alive), OpenSSL met en cache les informations de session SSL en
+interne. Mais comme les clients modernes demandent des images en ligne
+et d'autres données via des requêtes parallèles (un nombre de quatre
+requêtes parallèles est courant), ces requêtes vont être servies par
+<em>plusieurs</em> processus du serveur pré-déclenchés. Ici, un cache
+inter-processus permet d'éviter des négociations de session
+inutiles.</p>
 <p>
-Les différentes valeurs de <em>source</em> disponibles sont :</p>
+Les quatre <em>type</em>s de stockage suivants sont actuellement
+supportés :</p>
 <ul>
-<li><code>builtin</code>
-    <p>Cette source de déclenchement intégrée est toujours disponible.
-    Son utilisation consomme un minimum de cycles CPU en cours
-    d'exécution, et son utilisation ne présente de ce fait aucun
-    problème. La source utilisée pour déclencher le PRNG contient la
-    date courante, l'identifiant du processus courant et (si disponible)
-    un extrait de 1Ko aléatoirement choisi de la structure d'Apache pour
-    les échanges inter-processus. Ceci présente un inconvénient car le
-    caractère aléatoire de cette source n'est pas vraiment fort, et au
-    démarrage (lorsque la structure d'échanges n'est pas encore
-    disponible), cette source ne produit que quelques octets d'entropie.
-    Vous devez donc toujours utiliser une source de déclenchement
-    additionnelle, au moins pour le démarrage.</p></li>
-<li><code>file:/chemin/vers/source</code>
-    <p>
-    Cette variante utilise un fichier externe
-    <code>file:/chemin/vers/source</code> comme source de déclenchement
-    du PRNG. Lorsque <em>nombre</em> est spécifié, seuls les
-    <em>nombre</em> premiers octets du fichier forment l'entropie (et
-    <em>nombre</em> est fourni comme premier argument à
-    <code>/chemin/vers/source</code>). Lorsque <em>nombre</em> n'est pas
-    spécifié, l'ensemble du fichier forme l'entropie (et <code>0</code>
-    est fourni comme premier argument à
-    <code>/chemin/vers/source</code>). Utilisez cette source en
-    particulier au démarrage, par exemple avec un fichier de
-    périphérique <code>/dev/random</code> et/ou
-    <code>/dev/urandom</code> (qui sont en général présent sur les
-    plate-formes dérivées d'Unix modernes comme FreeBSD et Linux).</p>
-    <p><em>Soyez cependant prudent</em> : en général,
-    <code>/dev/random</code> ne fournit que l'entropie dont il dispose
-    réellement ; en d'autres termes, lorsque vous demandez 512 octets
-    d'entropie, si le périphérique ne dispose que de 100 octets, deux
-    choses peuvent se produire : sur certaines plates-formes, vous ne
-    recevez que les 100 octets, alors que sur d'autres, la lecture se
-    bloque jusqu'à ce qu'un nombre suffisant d'octets soit disponible
-    (ce qui peut prendre beaucoup de temps). Il est préférable ici
-    d'utiliser le périphérique <code>/dev/urandom</code>, car il ne se
-    bloque jamais et fournit vraiment la quantité de données demandées.
-    Comme inconvénient, les données reçues ne sont pas forcément de la
-    meilleure qualité.</p></li>
+<li><code>none</code>
+
+    <p>Cette valeur désactive le cache de session global et
+    inter-processus, ce qui va ralentir le serveur de manière sensible
+    et peut poser problème avec certains navigateurs, en particulier si
+    les certificats clients sont activés. Cette configuration n'est pas
+    recommandée.</p></li>
+
+<li><code>nonenotnull</code>
+
+    <p>Cette valeur désactive tout cache de session global et
+    inter-processus. Cependant, elle force OpenSSL à envoyer un
+    identifiant de session non nul afin de s'adapter aux clients bogués
+    qui en nécessitent un.</p></li>
+
+<li><code>dbm:/chemin/vers/fichier-données</code>
+
+    <p>Cette valeur utilise un fichier de hashage DBM sur disque local
+    pour synchroniser les caches OpenSSL locaux en mémoire des processus
+    du serveur. Ce cache de session peut être sujet à des problèmes de
+    fiabilité sous forte charge. Pour l'utiliser, le module
+    <code class="module"><a href="../mod/mod_socache_dbm.html">mod_socache_dbm</a></code> doit être chargé.</p></li>
+
+<li><code>shmcb:/chemin/vers/fichier-données</code>[<code>(</code><em>nombre</em><code>)</code>]
+
+    <p>Cette valeur utilise un tampon cyclique à hautes performances
+    (d'une taille d'environ <em>nombre</em> octets) dans un segment de
+    mémoire partagée en RAM (établi via
+    <code>/chemin/vers/fichier-données</code>, pour synchroniser les
+    caches OpenSSL locaux en mémoire des processus du serveur. C'est le
+    type de cache de session recommandé. Pour l'utiliser, le module
+    <code class="module"><a href="../mod/mod_socache_shmcb.html">mod_socache_shmcb</a></code> doit être chargé.</p></li>
+
+<li><code>dc:UNIX:/chemin/vers/socket</code>
+
+    <p>Cette valeur utilise les bibliothèques de mise en cache de
+    sessions distribuée sur <a href="http://www.distcache.org/">cache distant "distcache"</a>.
+    L'argument doit spécifier le serveur ou mandataire à utiliser en
+    utilisant la syntaxe d'adressage distcache ; par exemple,
+    <code>UNIX:/chemin/vers/socket</code> spécifie une socket de domaine
+    Unix (en général un mandataire de dc_client local) ;
+    <code>IP:serveur.example.com:9001</code> spécifie une adresse IP.
+    Pour l'utiliser, le module <code class="module"><a href="../mod/mod_socache_dc.html">mod_socache_dc</a></code> doit être
+    chargé.</p></li>
 
-<li><code>exec:/chemin/vers/programme</code>
-    <p>
-    Cette variante utilise un exécutable externe
-    <code>/chemin/vers/programme</code> comme source de déclenchement du
-    PRNG. Lorsque <em>nombre</em> est spécifié, seules les
-    <em>nombre</em> premiers octets de son flux <code>stdout</code>
-    forment l'entropie. Lorsque <em>nombre</em> n'est pas spécifié,
-    l'intégralité des données produites sur <code>stdout</code> forment
-    l'entropie. N'utilisez cette variante qu'au démarrage où une source
-    de déclenchement fortement aléatoire est nécessaire, en utilisant
-    un programme externe (comme dans l'exemple
-    ci-dessous avec l'utilitaire <code>truerand</code> basé sur la
-    bibliothèque <em>truerand</em> de AT&amp;T que vous trouverez
-    dans la distribution de mod_ssl). Bien entendu, l'utilisation de
-    cette variante dans un contexte "connection" ralentit le serveur de
-    manière trop importante, et en général, vous devez donc éviter
-    d'utiliser des programmes externes dans ce contexte.</p></li>
-<li><code>egd:/chemin/vers/socket-egd</code> (Unix seulement)
-    <p>Cette variante utilise le socket de domaine Unix du Démon
-    Générateur d'Entropie externe ou Entropy Gathering Daemon ou EGD
-    (voir <a href="http://www.lothar.com/tech/crypto/">http://www.lothar.com/tech
-    /crypto/</a>) pour déclencher le PRNG. N'utilisez cette variante que
-    si votre plate-forme ne possède pas de périphérique random ou
-    urandom.</p></li>
 </ul>
-<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLRandomSeed startup builtin
-SSLRandomSeed startup file:/dev/random
-SSLRandomSeed startup file:/dev/urandom 1024
-SSLRandomSeed startup exec:/usr/local/bin/truerand 16
-SSLRandomSeed connect builtin
-SSLRandomSeed connect file:/dev/random
-SSLRandomSeed connect file:/dev/urandom 1024</pre>
+
+<div class="example"><h3>Exemples</h3><pre class="prettyprint lang-config">SSLSessionCache dbm:/usr/local/apache/logs/ssl_gcache_data
+SSLSessionCache shmcb:/usr/local/apache/logs/ssl_gcache_data(512000)</pre>
+</div>
+
+<p>Le mutex <code>ssl-cache</code> permet de sérialiser l'accès au cache
+de session afin d'éviter toute corruption. Ce mutex peut être configuré
+via la directive <code class="directive"><a href="../mod/core.html#mutex">Mutex</a></code>.</p>
+
+</div>
+<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
+<div class="directive-section"><h2><a name="sslsessioncachetimeout" id="sslsessioncachetimeout">Directive</a> <a name="SSLSessionCacheTimeout" id="SSLSessionCacheTimeout">SSLSessionCacheTimeout</a></h2>
+<table class="directive">
+<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre de secondes avant l'expiration d'une session SSL
+dans le cache de sessions</td></tr>
+<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>SSLSessionCacheTimeout <em>secondes</em></code></td></tr>
+<tr><th><a href="directive-dict.html#Default">Défaut:</a></th><td><code>SSLSessionCacheTimeout 300</code></td></tr>
+<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
+<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
+<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl</td></tr>
+<tr><th><a href="directive-dict.html#Compatibility">Compatibilité:</a></th><td>S'applique aussi à la reprise de session TLS (RFC 5077) à
+partir de la version 2.4.10 du serveur HTTP Apache</td></tr>
+</table>
+<p>
+Cette directive permet de définir la durée de vie en secondes des
+informations stockées dans le cache de sessions SSL global et
+inter-processus, dans le cache OpenSSL interne en mémoire et pour
+les sessions réinitialisées par la reprise de session TLS (RFC 5077). elle peut
+être définie à une valeur d'environ 15 à des fins de test, mais à une
+valeur très supérieure comme 300 en production.</p>
+<div class="example"><h3>Exemple</h3><pre class="prettyprint lang-config">SSLSessionCacheTimeout 600</pre>
 </div>
 
 </div>
 <div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>

[... 1374 lines stripped ...]


Mime
View raw message