From: Lucien Gentis Date: Sat, 13 Sep 2025 13:32:52 +0000 (+0000) Subject: fr doc XML file update. X-Git-Url: http://git.ipfire.org/?a=commitdiff_plain;h=b9aad883f29ca092bcb58a22dbf6b59b74c6d282;p=thirdparty%2Fapache%2Fhttpd.git fr doc XML file update. git-svn-id: https://svn.apache.org/repos/asf/httpd/httpd/trunk@1928429 13f79535-47bb-0310-9956-ffa450edef68 --- diff --git a/docs/manual/mod/mod_ssl.xml.fr b/docs/manual/mod/mod_ssl.xml.fr index 0e5e53353e..c5c00431f4 100644 --- a/docs/manual/mod/mod_ssl.xml.fr +++ b/docs/manual/mod/mod_ssl.xml.fr @@ -1,7 +1,7 @@ - + @@ -203,6 +203,13 @@ hexadécimale avec la longueur de la chaîne au début SSL_CLIENTHELLO_VERSIONS chaîne Valeur de l’extension Supported Versions (43) de ClientHello sous la forme de quatre caractères hexadécimaux par item +SSL_ECH_STATUS chaîne +success signifie que les autres pensent aussi ce qu'ils +disent +SSL_ECH_INNER_SNI chaîne +la valeur SNI chiffrée en ECH (ou `NONE`) +SSL_ECH_OUTER_SNI chaîne +la valeur SNI vue au format texte (ou `NONE`)

x509 spécifie un élément de DN X.509 parmi @@ -3438,5 +3445,129 @@ httpd -t -D DUMP_SSL_POLICIES + +SSLECHKeyDir +Chargement des fichiers PEM « Encrypted Client Hello » (ECH) dans le +répertoire spécifié +SSLECHKeyDir dirname +server config +Disponible à partir de la version 2.5.1 du serveur HTTP Apache + + + +

+ECH est décrit dans draft-ietf-tls-esni +; httpd prend en charge ECH « shared-mode » où l’instance de httpd effectue le +déchiffrement ECH et héberge les sites web ECH « public-name » et « backend ». +

+ +

La directive SSLECHKeyDir permet de définir le répertoire où les +fichiers PEM ECH (nommés *.ech) sont stockés. Lorsqu’un fichier PEM +ECH a été chargé avec succès, httpd va effectuer un déchiffrement ECH et, si ce +dernier réussit, va ouvrir la session TLS correspondante en utilisant le SNI +depuis le ClientHello interne. +

+ +Exemple de configuration ECH + +... +SSLEngine On +SSLProtocol TLSv1.3 +SSLECHKeyDir /etc/apache2/echkeydir +... +# virtual hosts +<VirtualHost *:443> + SSLEngine On + SSLProtocol TLSv1.3 + ServerName example.com + DocumentRoot "/var/www/dir-example.com" +</VirtualHost> +<VirtualHost *:443> + SSLEngine On + SSLProtocol TLSv1.3 + ServerName foo.example.com + DocumentRoot "/var/www/dir-foo.example.com" +</VirtualHost> +... + + + +Génération et publication de la clé ECH +

+Dans ce qui précède, nous décrivons une configuration qui utilise +example.com comme public-name ECH et où +foo.example.com est un site web pour lequel nous voulons utiliser +ECH, les deux étant hébergés par la même instance de httpd. +

+

+L’utilisation d’ECH nécessite le chargement par httpd d’une paire de clés ECH +avec une composante privée pour le déchiffrement ECH. Pour les navigateurs, il +sera nécessaire que la composante publique de cette paire de clés soit publiée +dans le DNS. À l’aide d’OpenSSL, nous générons et stockons cette paire de clés +dans un fichier formaté PEM ECH comme indiqué ci-après. +

+

+Pour générer une paire de clés ECH et stocker le résultat dans un fichier PEM +ECH, utilisez la ligne de commande openssl prenant en charge ECH. Vous devez +aussi fournir le « nom publique » (public-name) requis +par le protocole ECH. +

+

+Les opérations de génération des clés doivent être effectuées sous n’importe +quel compte local utilisé pour la configuration de httpd. +

+Exemple : Génération de clés ECH + +~# OSSL=/home/user/code/openssl/apps/openssl +~# mkdir -p /etc/apache2/echkeydir +~# chmod 700 /etc/apache2/echkeydir +~# cd /etc/apache2/echkeydir +~# $OSSL ech -public-name example.com -o example.com.pem.ech +~# cat example.com.pem.ech +-----BEGIN PRIVATE KEY----- +MC4CAQAwBQYDK2VuBCIEIJi22Im2rJ/lJqzNFZdGfsVfmknXAc8xz3fYPhD0Na5I +-----END PRIVATE KEY----- +-----BEGIN ECHCONFIG----- +AD7+DQA6QwAgACA8mxkEsSTp2xXC/RUFCC6CZMMgdM4x1iTWKu3EONjbMAAEAAEA +AQALZXhhbXBsZS5vcmcAAA== +-----END ECHCONFIG----- + + +

+La valeur ECHConfig doit ensuite être publiée dans le DNS sous forme d’un +enregistrement ressource HTTPS de façon à être accessible comme indiqué +ci-après : +

+Accéder à une configuration ECH depuis le DNS + +$ dig +short HTTPS foo.example.com +1 . ech=AD7+DQA6QwAgACA8mxkEsSTp2xXC/RUFCC6CZMMgdM4x1iTWKu3EONjbMAAEAAEAAQALZXhhbXBsZS5vcmcAAA== + + +

+Divers autres champs peuvent être inclus dans un enregistrement ressource HTTPS. +Les méthodes existantes pour publier des enregistrements DNS peuvent être +utilisées pour effectuer ce qui précède pour de nombreux déploiements de httpd. +Dans certains cas, il pourra être intéressant d’utiliser + +un URI connu pour les paramètres du service de publication conçu pour +assister les serveurs web , par exemple dans la gestion des rotations fréquentes +de clés ECH. +

+ + +Rechargement des clés ECH + +

+Invoquer httpd avec l’argument de ligne de commande -k graceful +provoque un rechargement « en douceur » de la configuration sans fermer les +connexions existantes. +

+ + + + +