<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
<!-- French translation : Lucien GENTIS -->
-<!-- English Revision: 1926086:1929515 (outdated) -->
+<!-- English Revision: 1929515 -->
<!--
Licensed to the Apache Software Foundation (ASF) under one or more
</p>
</note>
- <note><title>tailscale</title>
- <p>
- Depuis la version 2.4.14 du module, vous pouvez l'utiliser pour
- obtenir des certificats pour vos domaines <a
- href="https://tailscale.com">tailscale</a>.
- </p>
- <highlight language="config">
-<MDomain mydomain.some-thing.ts.net>
- MDCertificateProtocol tailscale
- MDCertificateAuthority file://localhost/var/run/tailscale/tailscaled.sock",
-</MDomain>
- </highlight>
- <p>
- Tailscale permet des communications sécurisées entre vos
- machines, où qu'elles se trouvent, et peut leur fournir des noms de
- domaine dans l'espace *.ts.net. Pour ceux-ci, il fournira
- aussi ensuite des certificats Let's Encrypt de façon à ce que
- vous puissiez ouvrir ces domaines dans votre navigateur en toute
- sécurité.
- </p>
- <p>
- Apache va contacter le démon tailscale local à l'aide des
- directives listées ci-dessous pour obtenir et renouveler les
- certificats. Ceci ne fonctionnera cependant que pour les noms de
- domaine que tailscale aura assigné à votre machine.
- </p>
- <p>
- Dans le cas contraire, ces certificats fonctionneront exactement
- de la même façon que ceux qui auront été obtenus à l'aide du
- protocole ACME de Lets Encrypt. Vous les verrez dans le rapport
- d'état et les directives MDMessageCmd seront aussi exécutées
- pour eux.
- </p>
- <p>
- Vous trouverez plus de détails dans la <a
- href="https://github.com/icing/mod_md#tailscale">documentation
- github de mod_md</a>.
- </p>
- <p>
- Notez que cette fonctionnalité n'est disponible que sur les
- machines où le démon tailscale fournit un socket de domaine unix.
- Jusqu'à présent, ceci ne semble être le cas que sur les systèmes
- de style Unix.
- </p>
- </note>
-
</summary>
<directivesynopsis>
<description>Temps d'attente avant de réessayer, doublé à chaque erreur
consécutive</description>
<syntax>MDRetryDelay <var>duration</var></syntax>
- <default>MDRetryDelay 5s</default>
+ <default>MDRetryDelay 30s</default>
<contextlist>
<context>server config</context>
</contextlist>
certificat. Autrement dit, une erreur sur un MDomain ne retarde
pas les renouvellements des autres domaines.
</p>
+ <p>
+ Dans mod_md version 2.6.1, le délai par défaut a été augmenté de
+ 5 à 30 secondes.
+ </p>
</usage>
</directivesynopsis>
</usage>
</directivesynopsis>
+ <directivesynopsis>
+ <name>MDRenewViaARI</name>
+ <description>Utilisation de l’extension ACME ARI (rfc9773).</description>
+ <syntax>MDRenewViaARI on|off</syntax>
+ <default>MDRenewViaARI on</default>
+ <contextlist>
+ <context>server config</context>
+ </contextlist>
+ <usage>
+ <p>
+ Cette directive permet d’activer ou de désactiver le
+ déclenchement du renouvellement des certificats à l’aide de
+ l’extension ACME ARI (rfc9773). Ces renouvellements s’ajoutent à
+ ceux déclenchés par le mécanisme contrôlé à l’aide de la
+ directive <directive>MDRenewWindow</directive>.
+ </p><p>
+ ACME ARI permet en quelque sorte à une CA ACME de façonner le
+ trafic entrant des renouvellements. Plus important cependant,
+ cette extension peut informer les clients de l’urgence d’un
+ renouvellement, par exemple lorsqu’un certificat ou une partie
+ de sa chaîne de certification a été révoqué(e).
+ </p>
+ </usage>
+ </directivesynopsis>
+
</modulesynopsis>
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1927321:1929556 (outdated) -->
+<!-- English Revision: 1929583 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
</usage>
</directivesynopsis>
+<directivesynopsis>
+<name>SSLVHostSNIPolicy</name>
+<description>Définir la politique de compatibilité pour l’accès des clients SNI
+aux serveurs virtuels.</description>
+<syntax>SSLVHostSNIPolicy strict|secure|authonly|insecure</syntax>
+<default>SSLVHostSNIPolicy secure</default>
+<contextlist><context>server config</context></contextlist>
+<compatibility>Disponible à partir de la version 2.4.66 du serveur HTTP Apache</compatibility>
+
+<usage><p>Cette directive permet de définir la politique à appliquer lors de la
+vérification de la compatibilité du <directive module="core"
+type="section">serveur virtuel</directive> identifié par l’en-tête
+<code>Host</code> d’une requête HTTP avec le <directive module="core"
+type="section">serveur virtuel</directive> identifié depuis l’extension SNI
+envoyée au cours de la négociation de la connexion TLS initiale. Si une requête
+HTTP est associée à un serveur virtuel comportant une configuration SSL/TLS
+incompatible selon la politique utilisée, un message d’erreur HTTP avec code
+d’état 421 ("Misdirected Request") sera envoyé.</p>
+
+<p>La politique s’applique aussi aux connexions TLS pour lesquelles une
+extension SNI n’est pas envoyée lors de la négociation de connexion, et
+utilisant la première définition de serveur virtuel ou la définition par défaut.
+Si l’en-tête Host d’une requête HTTP sur une telle connexion identifie un
+serveur virtuel autre que celui par défaut, la politique de compatibilité sera
+testée.</p>
+
+<p>La politique <code>strict</code> bloque toute requête HTTP associée à un
+serveur virtuel différent de celui identifié par SNI. La politique
+<code>insecure</code> autorise toute requête, quel que soit le serveur virtuel
+associé ; une telle configuration pourra être vulnérable à <a
+href="https://httpd.apache.org/security/vulnerabilities_24.html">CVE-2025-23048</a>.
+</p>
+
+<p>Les politiques <code>secure</code> (politique par défaut) et
+<code>authonly</code> comparent certains aspects spécifiques des deux serveurs
+virtuels, qui sont regroupés en deux catégories :</p>
+
+<ul>
+ <li><strong>certificat/clé de serveur ou restrictions de protocole/algorithme
+ de chiffrement</strong> : directives qui déterminent le certificat ou la clé
+ du serveur (<directive
+ module="mod_ssl">SSLCertificateKeyFile</directive>, etc.), restrictions de
+ protocole ou d’algorithme
+ de chiffrement (<directive
+ module="mod_ssl">SSLProtocol</directive> et <directive
+ module="mod_ssl">SSLCipherSuite</directive>)</li>
+
+ <li><strong>configuration de la certification et de l’authentification du
+ client</strong> : directives qui affectent l’authentification du client et la
+ vérification de son certificat via TLS, telles que <directive
+ module="mod_ssl">SSLVerifyClient</directive>, <directive
+ module="mod_ssl">SSLVerifyMode</directive>, <directive
+ module="mod_ssl">SSLCACertificatePath</directive>, <directive
+ module="mod_ssl">SSLSRPVerifierFile</directive>; toute utilisation de <directive
+ module="mod_ssl">SSLOpenSSLConfCmd</directive></li>
+</ul>
+
+<p>Le tableau suivant indique quand une requête HTTP sera bloquée ou autorisée
+lorsque les configurations des serveurs virtuels diffèrent de la manière
+décrite, et en fonction des différentes politiques utilisées :</p>
+
+<table border="1" style="zebra">
+<columnspec><column width=".3"/><column width=".2"/><column width=".5"/>
+</columnspec>
+<tr>
+ <th>Politique utilisée</th>
+ <th>Toute incohérence dans les serveurs virtuels</th>
+ <th>Certificat/clé du serveur, <br />ou restrictions de protocole/algorithme
+ de chiffrement</th>
+ <th>Certification client/<br />configuration de l’authentification</th>
+</tr>
+<tr>
+ <td><code>strict</code></td><td>bloquée</td><td>bloquée</td><td>bloquée</td>
+</tr>
+<tr>
+ <td><code>secure</code></td><td>autorisée</td><td>bloquée</td><td>bloquée</td>
+</tr>
+<tr>
+ <td><code>authonly</code></td><td>autorisée</td><td>bloquée</td><td>autorisée</td>
+</tr>
+<tr>
+ <td><code>insecure</code></td><td>autorisée</td><td>autorisée</td><td>autorisée</td>
+</tr>
+</table>
+
+<example><title>Exemple</title>
+<highlight language="config">
+SSLVHostSNIPolicy authonly
+</highlight>
+
+</example>
+</usage>
+</directivesynopsis>
+
<directivesynopsis>
<name>SSLProxyMachineCertificatePath</name>
<description>Répertoire des clés et certificats clients codés en PEM que
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1874169:1929574 (outdated) -->
+<!-- English Revision: 1929574 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
</usage>
</directivesynopsis>
+<directivesynopsis>
+<name>ListenTCPDeferAccept</name>
+<description>Valeur de l’option de socket TCP_DEFER_ACCEPT si elle est
+définie</description>
+<syntax>ListenTCPDeferAccept <var>integer</var></syntax>
+<default>ListenTCPDeferAccept 30</default>
+<contextlist><context>server config</context></contextlist>
+<modulelist><module>event</module><module>worker</module>
+<module>prefork</module>
+</modulelist>
+<compatibility>Disponible à partir de la version 2.5.1 du serveur HTTP Apache</compatibility>
+
+<usage>
+ <p>La valeur spécifiée ici est définie comme valeur de l’option de socket
+ <code>TCP_DEFER_ACCEPT</code> si cette dernière est définie sur le socket
+ d’écoute. Cela se produit sous Linux lorsque la directive <directive
+ module="core">AcceptFilter</directive> est définie à toute autre valeur que
+ <code>none</code>. Dans tous les autres cas, ce réglage est ignoré. Pour
+ plus de détails, voir la page de manuel de <a
+ href="http://man7.org/linux/man-pages/man7/tcp.7.html">tcp(7)</a> sous
+ Linux.</p>
+</usage>
+</directivesynopsis>
+
<directivesynopsis>
<name>MaxRequestWorkers</name>
<description>Nombre maximum de connexions pouvant être traitées
directive <directive>MaxRequestWorkers</directive> une valeur qui requiert
plus de 16 processus, vous devez aussi augmenter la valeur de la
directive <directive module="mpm_common"
- >ServerLimit</directive>.</p>
+>ServerLimit</directive>.</p>
<p>Le nom de la directive <directive>MaxRequestWorkers</directive>
était <directive>MaxClients</directive> avant la version 2.3.13. Cet
projects / thirdparty / apache / httpd.git / commitdiff
