<p>The (default) <code>secure</code>, and <code>authonly</code>
policies compare specific aspects of the SSL configuration for the two
-virtual hosts, which are grouped into two categories:
+virtual hosts, which are grouped into two categories:</p>
<ul>
<li><strong>client vertification and authentication
module="mod_ssl">SSLProtocol</directive>)</li>
</ul>
-This table illustrates whether an HTTP request will be blocked or
+<p>This table illustrates whether an HTTP request will be blocked or
allowed when the virtual host configurations differ as described,
-under each different policy setting:
+under each different policy setting:</p>
<table border="1" style="zebra">
<columnspec><column width=".3"/><column width=".2"/><column width=".5"/>
<th>Server certificate/key, <br />or protocol/cipher restrictions</th>
</tr>
<tr>
- <td><code>strict</code><td>blocked</td><td>blocked</td><td>blocked</td></td>
+ <td><code>strict</code></td><td>blocked</td><td>blocked</td><td>blocked</td>
</tr>
<tr>
- <td><code>secure</code><td>allowed</td><td>blocked</td><td>blocked</td></td>
+ <td><code>secure</code></td><td>allowed</td><td>blocked</td><td>blocked</td>
</tr>
<tr>
- <td><code>authonly</code><td>allowed</td><td>blocked</td><td>allowed</td></td>
+ <td><code>authonly</code></td><td>allowed</td><td>blocked</td><td>allowed</td>
</tr>
<tr>
- <td><code>insecure</code><td>allowed</td><td>allowed</td><td>allowed</td></td>
+ <td><code>insecure</code></td><td>allowed</td><td>allowed</td><td>allowed</td>
</tr>
</table>
-</p>
+
<example><title>Example</title>
<highlight language="config">
SSLVHostSNIPolicy authonly
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1928428:1929308 (outdated) -->
+<!-- English Revision: 1929308 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
</usage>
</directivesynopsis>
+<directivesynopsis>
+<name>SSLVHostSNIPolicy</name>
+<description>Définir la politique de compatibilité pour l’accès des clients SNI
+aux serveurs virtuels.</description>
+<syntax>SSLVHostSNIPolicy strict|secure|authonly|insecure</syntax>
+<default>SSLVHostSNIPolicy secure</default>
+<contextlist><context>server config</context></contextlist>
+<compatibility>Disponible à partir de la version 2.5 du serveur HTTP Apache</compatibility>
+
+<usage><p>Cette directive permet de définir la politique à appliquer lors de la
+vérification de la compatibilité du <directive module="core"
+type="section">serveur virtuel</directive> identifié par l’en-tête
+<code>Host</code> d’une requête HTTP avec le <directive module="core"
+type="section">serveur virtuel</directive> identifié depuis l’extension SNI
+envoyée au cours de la négociation de la connexion TLS initiale. Si une requête
+HTTP est associée à un serveur virtuel comportant une configuration SSL/TLS
+incompatible selon la politique utilisée, un message d’erreur HTTP avec code
+d’état 421 ("Misdirected Request") sera envoyé.</p>
+
+<p>La politique <code>strict</code> bloque toute requête HTTP associée à un
+serveur virtuel différent de celui identifié par SNI. La politique
+<code>insecure</code> autorise toute requête, quel que soit le serveur virtuel
+associé ; une telle configuration pourra être vulnérable à <a
+href="https://httpd.apache.org/security/vulnerabilities_24.html">CVE-2025-23048</a>.
+</p>
+
+<p>Les politiques <code>secure</code> (politique par défaut) et
+<code>authonly</code> comparent certains aspects spécifiques des deux serveurs
+virtuels, qui sont regroupés en deux catégories :</p>
+
+<ul>
+ <li><strong>configuration de la certification et de l’authentification du
+ client</strong> : directives qui affectent l’authentification du client et la
+ vérification de son certificat via TLS, telles que <directive
+ module="mod_ssl">SSLVerifyClient</directive>, <directive
+ module="mod_ssl">SSLVerifyMode</directive>, <directive
+ module="mod_ssl">SSLCACertificatePath</directive>, <directive
+ module="mod_ssl">SSLSRPVerifierFile</directive>; toute utilisation de <directive
+ module="mod_ssl">SSLOpenSSLConfCmd</directive></li>
+
+ <li><strong>certificat/clé de serveur ou restrictions de protocole/algorithme
+ de chiffrement</strong> : directives qui déterminent le certificat ou la clé
+ du serveur (<directive
+ module="mod_ssl">SSLCertificateKeyFile</directive>, etc.), restrictions de
+ protocole ou d’algorithme
+ de chiffrement (<directive
+ module="mod_ssl">SSLProtocol</directive> et <directive
+ module="mod_ssl">SSLCipherSuite</directive>)</li>
+</ul>
+
+<p>Le tableau suivant indique quand une requête HTTP sera bloquée ou autorisée
+lorsque les configurations des serveurs virtuels diffèrent de la manière
+décrite, et en fonction des différentes politiques utilisées :</p>
+
+<table border="1" style="zebra">
+<columnspec><column width=".3"/><column width=".2"/><column width=".5"/>
+</columnspec>
+<tr>
+ <th>Politique utilisée</th>
+ <th>Toute incohérence dans les serveurs virtuels</th>
+ <th>Certification client/<br />configuration de l’authentification</th>
+ <th>Certificat/clé du serveur, <br />ou restrictions de protocole/algorithme
+ de chiffrement</th>
+</tr>
+<tr>
+ <td><code>strict</code></td><td>bloquée</td><td>bloquée</td><td>bloquée</td>
+</tr>
+<tr>
+ <td><code>secure</code></td><td>autorisée</td><td>bloquée</td><td>bloquée</td>
+</tr>
+<tr>
+ <td><code>authonly</code></td><td>autorisée</td><td>bloquée</td><td>autorisée</td>
+</tr>
+<tr>
+ <td><code>insecure</code></td><td>autorisée</td><td>autorisée</td><td>autorisée</td>
+</tr>
+</table>
+
+<example><title>Exemple</title>
+<highlight language="config">
+SSLVHostSNIPolicy authonly
+</highlight>
+
+</example>
+</usage>
+</directivesynopsis>
+
<directivesynopsis>
<name>SSLProxyMachineCertificatePath</name>
<description>Répertoire des clés et certificats clients codés en PEM que
projects / thirdparty / apache / httpd.git / commitdiff
