<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE manualpage SYSTEM "../style/manualpage.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1874148:1933438 (outdated) -->
+<!-- English Revision: 1933438 -->
<!-- French translation : Lucien GENTIS -->
<!--
<summary>
- <p>Il est dit dans la documentation d'Apache 1.3
+ <p>Il est dit dans la documentation du serveur HTTP Apache 1.3
à propos de l'amélioration des performances :
</p>
<blockquote><p>
- "Apache est un serveur web à vocation générale, conçu pour
+ "httpd est un serveur web à vocation générale, conçu pour
être non seulement efficace mais aussi rapide. Dans sa
configuration de base, ses performances sont déjà
relativement satisfaisantes. La plupart des sites possèdent
une bande passante en sortie inférieure à 10 Mbits que le
- serveur Apache peut mettre pleinement à profit en utilisant un serveur à base
+ serveur httpd peut mettre pleinement à profit en utilisant un serveur à base
de processeur Pentium bas de gamme."</p>
</blockquote>
<p>Cette phrase ayant été écrite il y a plusieurs années,
que votre budget n'est pas illimité ; c'est pourquoi les
améliorations apportées le seront sans modifier l'infrastructure
matérielle existante. Vous ne souhaitez probablement pas
- compiler vous-même votre serveur Apache, ni recompiler le noyau
+ compiler vous-même votre serveur httpd, ni recompiler le noyau
de votre système d'exploitation ; nous supposerons cependant que
vous possédez quelques notions à propos du fichier de
configuration du serveur HTTP Apache.
</title>
<p>Le module mod_status donne un aperçu des performances
du serveur à un instant donné. Il génère une page HTML
- comportant, entre autres, le nombre de processus Apache
+ comportant, entre autres, le nombre de processus httpd
en cours d'exécution avec la quantité de données qu'ils
ont servies, ainsi que la charge CPU induite par httpd
et le reste du système. L'Apache Software Foundation
attendez-vous à voir de nombreuses tentatives
d'exploitation et attaques de vers dans le journal des
erreurs. La plupart d'entre elles ciblent des serveurs
- autres qu'Apache, mais dans l'état actuel des choses,
+ autres que httpd, mais dans l'état actuel des choses,
les scripts se contentent d'envoyer leurs attaques vers
tout port ouvert, sans tenir compte du serveur web
effectivement en cours d'exécution ou du type
</td>
<td>
<p>Nom de l'utilisateur distant issu de
- l'authentification Apache</p>
+ l'authentification httpd</p>
</td>
</tr>
<tr>
avec moins de souplesse. Alors que le processus httpd de
votre serveur sous Windows continuera à écrire dans le
fichier journal une fois ce dernier renommé, le service
- Windows qui exécute Apache n'est pas en mesure
+ Windows qui exécute httpd n'est pas en mesure
d'effectuer un redémarrage graceful. Sous Windows, le
redémarrage d'un service consiste simplement à l'arrêter
et à le démarrer à nouveau, alors qu'avec un redémarrage
</example>
<p>Le programme cible de la redirection recevra alors les
- données de journalisation d'Apache sur son entrée
+ données de journalisation de httpd sur son entrée
standard stdin, et pourra en faire ce qu'il voudra. Le
- programme rotatelogs fourni avec Apache effectue une
+ programme rotatelogs fourni avec httpd effectue une
rotation des journaux de manière transparente en
fonction du temps ou de la quantité de données écrites,
et archive l'ancien fichier journal en ajoutant un
virtuel qui traite la requête ou l'erreur au début de
chaque entrée du journal. Un simple script Perl peut
alors éclater le journal en fichiers spécifiques à
- chaque serveur virtuel après sa rotation ; Apache
+ chaque serveur virtuel après sa rotation ; httpd
fournit un tel script dans le répertoire
<code>support/split-logfile</code>.
</p>
<p>
Vous pouvez aussi utiliser la directive <directive
module="mod_log_config">BufferedLogs</directive>
- pour qu'Apache conserve en mémoire plusieurs entrées
+ pour que httpd conserve en mémoire plusieurs entrées
de journal avant de les écrire sur disque. Gardez
cependant à l'esprit que si les performances peuvent
s'en trouver améliorées, la chronologie des
charge de test pour votre serveur web.
</p>
<ul>
- <li>Apache est fourni avec un programme de test nommé ab
+ <li>httpd est fourni avec un programme de test nommé ab
(initiales de Apache Bench). Ce dernier peut générer une
charge de serveur web consistant à demander le même
fichier de manière répétitive à un rythme rapide. Vous
</li>
<li>
<p>Des projets externes à l'ASF et réputés
- relativement corrects : grinder, httperf, tsung, <a
- href="http://funkload.nuxeo.org/">FunkLoad</a>.
+ relativement corrects : grinder, tsung.
</p>
</li>
</ul>
de module multi-process (MPM). Les développeurs purent alors
écrire des MPMs qui pouvaient fonctionner avec l'architecture
à base de processus ou de threads de leur système
- d'exploitation spécifique. Apache 2 est fourni avec des MPMs
+ d'exploitation spécifique. httpd 2 est fourni avec des MPMs
spécifiques pour Windows, OS/2, Netware et BeOS. Pour les
plateformes de style unix, les deux MPMS les plus connus
sont Prefork et Worker. Le MPM Prefork offre le même modèle
- de processus enfants prélancés que celui d'Apache 1.3. Le
+ de processus enfants prélancés que celui de httpd 1.3. Le
MPM Worker quant à lui, lance un nombre de processus enfants
moins important, mais attribue à chacun d'entre eux un
certain nombre de threads pour traiter les requêtes. Avec la
partagée n'existe effectivement qu'une seule fois, et
est utilisé par le code et les bibliothèques chargées et
la concurrence inter-processus (ou tableau de résultat -
- scoreboard) géré par Apache. La quantité de mémoire
+ scoreboard) géré par httpd. La quantité de mémoire
utilisée par chaque processus dépend fortement du nombre
et du type de modules utilisés. La meilleure façon d'en
déterminer les besoins consiste à générer une charge
fortement sur des bibliothèques tierces, et il n'est pas
garanti que la totalité d'entre elles soient
"thread-safe". Bonne nouvelle cependant : si vous
- exécutez Apache sous Linux, vous pouvez utiliser PHP
+ exécutez httpd sous Linux, vous pouvez utiliser PHP
avec le MPM prefork sans craindre une diminution de
performance trop importante par rapport à une option
threadée.
</p>
<p>Imaginez une équipe de football américain en attente
devant la ligne de remise en jeu. Si les joueurs se
- comportaient comme des processus Apache, ils se
+ comportaient comme des processus httpd, ils se
précipiteraient tous à la fois pour récupérer la balle au
signal de la reprise. Un seul d'entre eux y
parviendrait, et tous les autres n'auraient plus qu'à se
possible, d'où l'idée de la porte tournante. Dans les
dernières années, de nombreux systèmes d'exploitation,
comme Linux et Solaris, ont développé du code pour
- éviter le syndrome de l'"assaut de la foule". Apache
+ éviter le syndrome de l'"assaut de la foule". httpd
reconnaît ce code, et si vous n'effectuez qu'une seule
écoute du réseau, autrement dit si vous n'utilisez que
- le serveur principal ou un seul serveur virtuel, Apache
+ le serveur principal ou un seul serveur virtuel, httpd
n'utilisera pas d'"accept mutex" ; par contre, si vous
effectuez plusieurs écoutes du réseau (par exemple si
un serveur virtuel sert les requêtes SSL), Apache
utiliser avec précautions.
</p>
<p>Il n'existe aucune raison particulière pour
- désactiver l'"accept mutex". Apache détermine
+ désactiver l'"accept mutex". httpd détermine
automatiquement s'il doit utiliser ou non mutex sur
votre plateforme en fonction du nombre d'écoutes réseau
de votre serveur, comme décrit précédemment.
plus haut, la mémoire inutilisée peut être
avantageusement utilisée comme cache du système de
fichiers. Plus vous chargez de modules, plus les processus
- Apache grossissent, et ceci d'autant plus si vous
+ httpd grossissent, et ceci d'autant plus si vous
utilisez des modules qui génèrent des contenus
dynamiques comme PHP et mod_perl. Un gros fichier de
configuration - avec de nombreux serveurs virtuels - a
aussi tendance à augmenter l'empreinte mémoire des
processus. Une quantité de mémoire importante vous
- permettra d'exécuter Apache avec plus de processus
+ permettra d'exécuter httpd avec plus de processus
enfants, et donc de traiter d'avantage de requêtes
simultanément.
</p>
<p>Supposons que vous disposiez d'une machine possédant
une énorme quantité de mémoire RAM et un processeur aux
performances astronomiques ; vous pourrez alors exécuter
- des centaines de processus Apache selon vos besoins,
+ des centaines de processus httpd selon vos besoins,
mais tout en restant en deçà des limites imposées par le
noyau de votre système.
</p>
</example>
<p>Là encore, cette modification doit être effectuée
- avant le démarrage du serveur Apache.
+ avant le démarrage du serveur httpd.
</p>
de lister les services activés et de désactiver ceux
dont vous n'avez pas besoin.
</p>
- <p>Vous devez aussi prêter attention aux modules Apache
+ <p>Vous devez aussi prêter attention aux modules httpd
chargés par défaut. La plupart des distributions binaires
d'Apache httpd et des versions préinstallées fournies
avec les distributions de Linux chargent les modules
- Apache via la directive
+ httpd via la directive
<directive>LoadModule</directive>.
</p>
<p>Les modules inutilisés peuvent être désactivés : si
quant à elles traitées directement via une requête vers la
base de données. Pour effectuer ces aiguillages de requêtes,
vous disposez d'un outil particulièrement approprié fourni
- avec Apache : le module mod_rewrite.
+ avec httpd : le module mod_rewrite.
</p>
<p>Vous pouvez exécuter ce script périodiquement via
cron, à chaque fois que vous ajoutez un nouveau contenu. Pour
- faire en sorte qu'Apache substitue les pages
+ faire en sorte que httpd substitue les pages
statiques au contenu dynamique, nous
utiliserons mod_rewrite. Ce module est fourni avec le
- code source d'Apache, mais n'est pas compilé par défaut.
- Pour le compiler avec la distribution d'Apache, vous
+ code source de httpd, mais n'est pas compilé par défaut.
+ Pour le compiler avec la distribution de httpd, vous
pouvez utiliser l'option de la commande configure
<code>--enable-rewrite[=shared]</code>. De nombreuses
- distributions binaires d'Apache sont fournies avec
+ distributions binaires de httpd sont fournies avec
<module>mod_rewrite</module> inclus. Dans l'exemple
- suivant, un serveur virtuel Apache utilise les pages de
+ suivant, un serveur virtuel httpd utilise les pages de
blog générées à l'avance :
</p>
particulièrement lorsque le Wiki est indexé par des
moteurs de recherche comme Google. Pour alléger la
charge de la machine, l'équipe d'infrastructure
- d'Apache s'est tournée vers mod_cache. Il s'est
+ de httpd s'est tournée vers mod_cache. Il s'est
avéré que <a href="/httpd/MoinMoin">MoinMoin</a>
nécessitait un petit patch pour adopter un
comportement approprié en aval du serveur de mise
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1933116:1933739 (outdated) -->
+<!-- English Revision: 1933739 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
<ul>
<li>Support vérifié du <a
href="http://www.openldap.org/">OpenLDAP SDK</a> (versions 1.x et
- 2.x), du <a href="http://developer.novell.com/ndk/cldap.htm">
- Novell LDAP SDK</a> et du SDK <a
- href="http://www.iplanet.com/downloads/developer/">iPlanet
- (Netscape)</a>.</li>
+ 2.x).</li>
<li>Implémentation de politiques d'autorisation complexes en les
définissant via des filtres LDAP.</li>
<li>Mise en oeuvre d'une mise en cache des opérations LDAP
élaborée via <a href="mod_ldap.html">mod_ldap</a>.</li>
- <li>Support de LDAP via SSL (nécessite le SDK Netscape) ou TLS
- (nécessite le SDK OpenLDAP 2.x ou le SDK LDAP Novell).</li>
+ <li>Support de LDAP via SSL/TLS (nécessite le SDK OpenLDAP 2.x).</li>
</ul>
<p>Lorsqu'on utilise <module>mod_auth_basic</module>, ce module est
<p>Cette directive permet de spécifier un groupe LDAP dont les
membres auront l'autorisation d'accès. Elle prend comme argument le
- DN du groupe LDAP. Note : n'entourez pas le nom du groupe avec des
- guillemets. Par exemple, supposons que l'entrée suivante existe dans
- l'annuaire LDAP :</p>
+ DN du groupe LDAP.</p>
+
+ <note type="warning">N’entourez pas de guillemets le nom du groupe. À la
+ différence de <code>Require ldap-user</code>, le fournisseur
+ <code>ldap-group</code> ne prend pas en charge les valeurs entre guillemets.</note>
+
+ <p>Supposons par exemple que l’entrée suivante existait dans l’annuaire
+ LDAP :</p>
+
<example><pre>
dn: cn=Administrators, o=Example
objectClass: groupOfUniqueNames
Elle permet de spécifier un DN pour lequel l'accès est autorisé. Si
le DN extrait de
l'annuaire correspond au DN spécifié par la directive <code>Require
- ldap-dn</code>, l'autorisation d'accès est accordée. Note :
- n'entourez pas Le DN de guillemets.</p>
+ ldap-dn</code>, l'autorisation d'accès est accordée.</p>
+
+ <note type="warning">N’entourez pas de guillemets le DN. À la différence de
+ <code>Require ldap-user</code>, le fournisseur <code>ldap-dn</code> ne prend
+ pas en charge les valeurs entre guillemets.</note>
<p>La directive suivante accorderait l'accès à un DN spécifique
:</p>
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1885833:1933764 (outdated) -->
+<!-- English Revision: 1933764 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
LDAP qui a été lié à <glossary>APR</glossary>. Au moment où ces
lignes sont écrites, APR-util supporte <a
href="http://www.openldap.org/">OpenLDAP SDK</a> (version 2.x ou
- supérieure), <a
- href="http://developer.novell.com/ndk/cldap.htm">Novell LDAP
- SDK</a>, <a href="https://wiki.mozilla.org/LDAP_C_SDK">
+ supérieure), <a href="https://wiki.mozilla.org/LDAP_C_SDK">
Mozilla LDAP SDK</a>, le SDK LDAP Solaris natif (basé sur Mozilla)
ou le SDK LDAP Microsoft natif. Voir le site web <a
href="http://apr.apache.org">APR</a> pour plus de détails.</p>
LDAPTrustedGlobalCert CA_DER /certs/certfile.der
-<Location "/ldap-status">
- SetHandler ldap-status
-
- Require host yourdomain.example.com
-
- Satisfy any
+<Location "/protected">
AuthType Basic
AuthName "LDAP Protected"
AuthBasicProvider ldap
LDAPTrustedGlobalCert CA_DER /certs/certfile.der
-<Location "/ldap-status">
- SetHandler ldap-status
-
- Require host yourdomain.example.com
-
- Satisfy any
+<Location "/protected">
AuthType Basic
AuthName "LDAP Protected"
AuthBasicProvider ldap
LDAPTrustedGlobalCert CERT_KEY3_DB /certs/key3.db
# Spécifie le fichier secmod si nécessaire
LDAPTrustedGlobalCert CA_SECMOD /certs/secmod
-<Location "/ldap-status">
- SetHandler ldap-status
-
- Require host yourdomain.example.com
-
- Satisfy any
+<Location "/protected">
AuthType Basic
AuthName "LDAP Protected"
AuthBasicProvider ldap
</section>
- <section id="settingcerts-novell"><title>SDK Novell</title>
-
- <p>Un ou plusieurs certificats de CA doivent être spécifiés pour
- que le SDK Novell fonctionne correctement. Ces certificats
- peuvent être spécifiés sous forme de fichiers au format binaire
- DER ou codés en Base64 (PEM).</p>
-
- <p>Note: Les certificats clients sont spécifiés globalement plutôt qu'à
- chaque connexion, et doivent être spécifiés à l'aide de la directive
- <directive module="mod_ldap">LDAPTrustedGlobalCert</directive> comme
- ci-dessous. Définir des certificats clients via la directive <directive
- module="mod_ldap">LDAPTrustedClientCert</directive> engendrera une
- erreur qui sera journalisée, au moment de la tentative de connexion avec
- le serveur LDAP.</p>
-
- <p>Le SDK supporte SSL et STARTTLS, le choix étant défini par le
- paramètre de la directive <directive
- module="mod_ldap">LDAPTrustedMode</directive>. Si une URL de type
- ldaps:// est spécifiée, le mode SSL est forcé, et l'emporte sur cette
- directive.</p>
-
- <highlight language="config">
-# Spécifie deux fichiers contenant des certificats de CA
-LDAPTrustedGlobalCert CA_DER /certs/cacert1.der
-LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem
-# Spécifie un fichier contenant des certificats clients
-# ainsi qu'une clé
-LDAPTrustedGlobalCert CERT_BASE64 /certs/cert1.pem
-LDAPTrustedGlobalCert KEY_BASE64 /certs/key1.pem [password]
-# N'utilisez pas cette directive, sous peine de provoquer
-# une erreur
-#LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem
- </highlight>
-
- </section>
-
<section id="settingcerts-openldap"><title>SDK OpenLDAP</title>
<p>Un ou plusieurs certificats de CA doivent être spécifiés pour
# Spécifie deux fichiers contenant des certificats de CA
LDAPTrustedGlobalCert CA_DER /certs/cacert1.der
LDAPTrustedGlobalCert CA_BASE64 /certs/cacert2.pem
-<Location "/ldap-status">
- SetHandler ldap-status
-
- Require host yourdomain.example.com
-
+<Location "/protected">
+ AuthType Basic
+ AuthName "LDAP Protected"
+ AuthBasicProvider ldap
LDAPTrustedClientCert CERT_BASE64 /certs/cert1.pem
LDAPTrustedClientCert KEY_BASE64 /certs/key1.pem
# CA certs respecified due to per-directory client certs
LDAPTrustedClientCert CA_DER /certs/cacert1.der
LDAPTrustedClientCert CA_BASE64 /certs/cacert2.pem
- Satisfy any
- AuthType Basic
- AuthName "LDAP Protected"
- AuthBasicProvider ldap
AuthLDAPURL ldaps://127.0.0.1/dc=example,dc=com?uid?one
Require valid-user
</Location>
<li>CERT_KEY3_DB - fichier de base de données des certificats
clients de Netscape key3.db</li>
<li>CERT_NICKNAME - certificat client "nickname" (SDK Netscape)</li>
- <li>CERT_PFX - certificat client codé en PKCS#12 (SDK Novell)</li>
+ <li>CERT_PFX - certificat client codé en PKCS#12</li>
<li>KEY_DER - clé privée codée en binaire DER</li>
<li>KEY_BASE64 - clé privée codée en PEM</li>
- <li>KEY_PFX - clé privée codée en PKCS#12 (SDK Novell)</li>
+ <li>KEY_PFX - clé privée codée en PKCS#12</li>
</ul>
</usage>
</directivesynopsis>
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1852478:1933401 (outdated) -->
+<!-- English Revision: 1933401 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
plates-formes Solaris 10 et OpenSolaris</compatibility>
<summary>
-<p>Ce module permet l'exécution de différents serveurs virtuels sous
-différents identifiants Unix <var>User</var> et <var>Group</var>,
-et avec différents <a
-href="http://sosc-dr.sun.com/bigadmin/features/articles/least_privilege.jsp">Privilèges
-Solaris</a>. En particulier, il apporte au problème de
-séparation des privilèges entre les différents serveurs virtuels la
-solution que devait apporter le module MPM abandonné perchild. Il
-apporte aussi d'autres améliorations en matière de sécurité.</p>
+<p>Ce module permet l'exécution de différents serveurs virtuels sous différents
+identifiants Unix <var>User</var> et <var>Group</var>, et avec différents <a
+href="https://docs.oracle.com/cd/E19253-01/816-4863/6mb20lvfd/index.html">Privilèges
+Solaris</a>. En particulier, il apporte au problème de séparation des privilèges
+entre les différents serveurs virtuels la solution que devait apporter le module
+MPM abandonné perchild. Il apporte aussi d'autres améliorations en matière de
+sécurité.</p>
<p>À la différence de perchild, <module>mod_privileges</module> n'est
pas un module MPM. Il travaille <em>au sein</em> d'un modèle de
requêtes par l'intermédiaire d'un serveur virtuel. L'identifiant
utilisateur est défini avant le traitement de la requête, puis
restauré à sa valeur de départ via les <a
- href="http://sosc-dr.sun.com/bigadmin/features/articles/least_privilege.jsp">Privilèges
+ href="https://docs.oracle.com/cd/E19253-01/816-4863/6mb20lvfd/index.html">Privilèges
Solaris</a>. Comme la définition
s'applique au <em>processus</em>, cette directive est incompatible
avec les modules MPM threadés.</p>
requêtes par l'intermédiaire d'un serveur virtuel. L'identifiant
du groupe est défini avant le traitement de la requête, puis
restauré à sa valeur de départ via les <a
- href="http://sosc-dr.sun.com/bigadmin/features/articles/least_privilege.jsp">Privilèges
+ href="https://docs.oracle.com/cd/E19253-01/816-4863/6mb20lvfd/index.html">Privilèges
Solaris</a>. Comme la définition
s'applique au <em>processus</em>, cette directive est incompatible
avec les modules MPM threadés.</p>
<usage>
<p>Détermine si les serveurs virtuels traitent les requêtes avec une
sécurité avancée en supprimant les <a
- href="http://sosc-dr.sun.com/bigadmin/features/articles/least_privilege.jsp"
+ href="https://docs.oracle.com/cd/E19253-01/816-4863/6mb20lvfd/index.html"
>Privilèges</a> rarement requis par un serveur web, mais disponibles
par défaut pour un utilisateur Unix standard, et donc susceptibles
d'être demandés par des modules et des applications. Il est
<usage>
<p>Détermine si le serveur virtuel est autorisé à exécuter fork et
exec, et définit les <a
- href="http://sosc-dr.sun.com/bigadmin/features/articles/least_privilege.jsp"
+ href="https://docs.oracle.com/cd/E19253-01/816-4863/6mb20lvfd/index.html"
>privilèges</a> requis pour exécuter des sous-processus. Si cette
directive est définie à <var>Off</var> le serveur virtuel ne
disposera d'aucun privilège et ne pourra exécuter ni des programmes
<usage>
<p>Cette directive qui s'applique à l'ensemble du serveur permet de
déterminer si Apache s'exécutera avec les <a
- href="http://sosc-dr.sun.com/bigadmin/features/articles/least_privilege.jsp"
+ href="https://docs.oracle.com/cd/E19253-01/816-4863/6mb20lvfd/index.html"
>privilèges</a> requis pour exécuter <a
- href="http://sosc-dr.sun.com/bigadmin/content/dtrace/">dtrace</a>.
+ href="https://docs.oracle.com/cd/E19253-01/819-5488/gbwaz/index.html">dtrace</a>.
Notez que la définition <var>DTracePrivileges On</var> n'activera
pas à elle-seule DTrace, mais que <var>DTracePrivileges Off</var>
l'empêchera de fonctionner.</p>
<usage>
<p>La directive <directive>VHostPrivs</directive> permet d'assigner
des <a
- href="http://sosc-dr.sun.com/bigadmin/features/articles/least_privilege.jsp"
+ href="https://docs.oracle.com/cd/E19253-01/816-4863/6mb20lvfd/index.html"
>privilèges</a> au choix à un serveur virtuel. Chaque
<var>nom-privilège</var> correspond à un privilège Solaris tel que
<var>file_setid</var> ou <var>sys_nfs</var>.</p>
<usage>
<p>La directive <directive>VHostCGIPrivs</directive> permet
d'assigner des <a
- href="http://sosc-dr.sun.com/bigadmin/features/articles/least_privilege.jsp"
+ href="https://docs.oracle.com/cd/E19253-01/816-4863/6mb20lvfd/index.html"
>privilèges</a> au choix aux sous-processus créés par un serveur
virtuel, comme décrit dans la directive
<directive>VHostCGIMode</directive>. Chaque
<?xml version="1.0" ?>
<!DOCTYPE manualpage SYSTEM "../style/manualpage.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1200006:1933453 (outdated) -->
+<!-- English Revision: 1933453 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
<title>Chiffrement fort SSL/TLS : Compatibilité</title>
<summary>
-
-<p>Ce document couvre la compatibilité ascendante entre mod_ssl et
+<note type="warning"><title>Document historique</title>
+<p>Ce document décrit la compatibilité avec des produits SSL qui ont été
+abandonnés depuis de nombreuses années (Apache-SSL, Stronghold, Raven SSL, Red Hat
+Secure Web Server). Il n’est conservé qu’à titre de référence historique. Si
+vous configurez mod_ssl sur une installation actuelle de httpd, consultez le <a
+href="ssl_howto.html">didacticiel SSL/TLS</a>. Cette page sera probablement
+supprimée dans une future version.</p>
+</note>
+
+<p>Cette page couvre la compatibilité ascendante entre mod_ssl et
d'autres solutions SSL. mod_ssl n'est pas la seule solution SSL pour Apache ;
quatre autres produits sont (ou ont été) également disponibles :
<a href="http://www.apache-ssl.org/">Apache-SSL</a>, le produit libre de
Ben Laurie (d'où mod_ssl est issu à l'origine en 1998), Secure
Web Server, un produit commercial de Red Hat (basé sur mod_ssl),
Raven SSL Module, un produit commercial
-de Covalent (basé lui aussi sur mod_ssl), et enfin <a
-href="http://www.redhat.com/explore/stronghold/">Stronghold</a>, produit
+de Covalent (basé lui aussi sur mod_ssl), et enfin Stronghold, produit
commercial de C2Net et maintenant de Red Hat, (basé sur une branche
d'évolution différente appelée Sioux jusqu'à Stronghold 2.x et basé sur
mod_ssl depuis Stronghold 3.x).</p>
<?xml version="1.0" ?>
<!DOCTYPE manualpage SYSTEM "../style/manualpage.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1682923:1933502 (outdated) -->
+<!-- English Revision: 1933502 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
premier de 1024 bits, paramètres qui seront toujours prioritaires
par rapport à tout autre paramètre DH par défaut.</p>
- <p>Pour générer des paramètres DH personnalisés, utilisez la
- commande <code>openssl dhparam 1024</code>. Vous pouvez aussi
- utiliser les paramètres DH standards issus de la <a
- href="http://www.ietf.org/rfc/rfc2409.txt">RFC 2409</a>, section 6.2 :</p>
+ <p>Pour générer des paramètres DH personnalisés, utilisez la commande
+ <code>openssl dhparam 1024</code>. Vous pouvez aussi utiliser les paramètres
+ DH standards issus de la <rfc>2409</rfc> section 6.2 :</p>
<example><pre>-----BEGIN DH PARAMETERS-----
-MIGHAoGBAP//////////yQ/aoiFowjTExmKLgNwc0SkCTgiKZ8x0Agu+pjsTmyJR
-Sgh5jjQE3e+VGbPNOkMbMCsKbfJfFDdP4TVtbVHCReSFtXZiXn7G9ExC6aY37WsL
-/1y29Aa37e44a/taiZ+lrp8kEXxLH+ZJKGZR7OZTgf//////////AgEC
------END DH PARAMETERS-----</pre></example>
- <p>Ajoute les paramètres personnalisés incluant les lignes "BEGIN DH
- PARAMETERS" et "END DH PARAMETERS" à la fin du premier fichier de
- certificat défini via la directive <directive
+ MIGHAoGBAP//////////yQ/aoiFowjTExmKLgNwc0SkCTgiKZ8x0Agu+pjsTmyJR
+ Sgh5jjQE3e+VGbPNOkMbMCsKbfJfFDdP4TVtbVHCReSFtXZiXn7G9ExC6aY37WsL
+ /1y29Aa37e44a/taiZ+lrp8kEXxLH+ZJKGZR7OZTgf//////////AgEC -----END DH
+ PARAMETERS-----</pre></example> <p>Ajoute les paramètres personnalisés
+ incluant les lignes "BEGIN DH PARAMETERS" et "END DH PARAMETERS" à la fin du
+ premier fichier de certificat défini via la directive <directive
module="mod_ssl">SSLCertificateFile</directive>.</p>
</section>
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE manualpage SYSTEM "../style/manualpage.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1757280:1933739 (outdated) -->
+<!-- English Revision: 1933739 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
<highlight language="config">
# Configuration "moderne" définie en août 2016 par le générateur de
# configuration SSL de la Fondation Mozilla. Ce dernier est disponible à
-# https://mozilla.github.io/server-side-tls/ssl-config-generator/
+# https://ssl-config.mozilla.org/
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1
# De nombreux algorithmes de chiffrement définis ici nécessitent une version
# récente (1.0.1 ou plus) d'OpenSSL. Certains nécessitent même OpenSSL 1.1.0
chaîne de certification.</p>
</section>
+<section>
+<title>Réglage de l’agrafage OCSP pour la production</title>
+<p>La configuration par défaut de l’agrafage OCSP est conservatrice et peut
+induire des requêtes excessives vers les répondeurs OCSP, des délais dépassés ou
+des réponses en erreur mis en cache trop longtemps. Les réglages suivants sont
+recommandés pour un serveur en production :</p>
+
+ <highlight language="config">
+# Ne pas envoyer les erreurs de répondeur OCSP aux clients :
+SSLStaplingReturnResponderErrors off
+
+# Réduction du délai de réponse OCSP par rapport à la valeur par défaut de 10s :
+SSLStaplingResponderTimeout 4
+
+# Mise en cache des réponses OCSP valables pendant 48 heures (par défaut 1
+# heure). Cela réduit la charge des répondeurs OCSP et évite les erreurs
+# transitoires causées par des requêtes fréquentes :
+SSLStaplingStandardCacheTimeout 172800
+
+# Renvoyer les requêtes OCSP en échec après 60 secondes (au lieu de la valeur
+# par défaut de 600 secondes :
+SSLStaplingErrorCacheTimeout 60
+ </highlight>
+
+<p>Ces réglages traitent les problèmes courants survenant quand les réglages par
+défaut de l’agrafage OCSP produisent des erreurs en charge — en particulier
+quand les répondeurs OCSP sont lents ou peu fiables. Voir la documentation
+individuelle des directives <directive
+module="mod_ssl">SSLStaplingReturnResponderErrors</directive>, <directive
+module="mod_ssl">SSLStaplingResponderTimeout</directive>, <directive
+module="mod_ssl">SSLStaplingStandardCacheTimeout</directive> et <directive
+module="mod_ssl">SSLStaplingErrorCacheTimeout</directive> pour les détails.</p>
+</section>
+
</section>
<!-- /ocspstapling -->
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE manualpage SYSTEM "../style/manualpage.dtd">
<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
-<!-- English Revision: 1933399:1933506 (outdated) -->
+<!-- English Revision: 1933506 -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
<dt><a id="MIME" name="MIME">[MIME]</a></dt>
<dd>N. Freed, N. Borenstein, <q>Multipurpose Internet Mail Extensions
(MIME) Part One: Format of Internet Message Bodies</q>, RFC2045.
-Voir par exemple <a
-href="http://tools.ietf.org/html/rfc2045">http://tools.ietf.org/html/rfc2045</a>.</dd>
+Voir par exemple la <rfc>2045</rfc>.</dd>
<dt><a id="SSL3" name="SSL3">[SSL3]</a></dt>
<dd>Alan O. Freier, Philip Karlton, Paul C. Kocher, <q>The SSL Protocol
-Version 3.0</q>, 1996. Voir <a
-href="https://datatracker.ietf.org/doc/html/rfc6101"
->RFC 6101</a>.</dd>
+Version 3.0</q>, 1996. Voir la <rfc>6101</rfc>.</dd>
<dt><a id="TLS1" name="TLS1">[TLS1]</a></dt>
<dd>Tim Dierks, Christopher Allen, <q>The TLS Protocol Version 1.0</q>,
-1999. Voir <a href="http://ietf.org/rfc/rfc2246.txt"
->http://ietf.org/rfc/rfc2246.txt</a>.</dd>
+1999. Voir la <rfc>2246</rfc>.</dd>
<dt><a id="TLS11" name="TLS11">[TLS11]</a></dt>
<dd><q>Le protocole TLS Version 1.1</q>,
-2006. Voir <a href="http://tools.ietf.org/html/rfc4346"
->http://tools.ietf.org/html/rfc4346</a>.</dd>
+2006. Voir la <rfc>4346</rfc>.</dd>
<dt><a id="TLS12" name="TLS12">[TLS12]</a></dt>
<dd><q>Le protocole TLS Version 1.2</q>,
-2008. Voir <a href="http://tools.ietf.org/html/rfc5246"
->http://tools.ietf.org/html/rfc5246</a>.</dd>
+2008. Voir la <rfc>5246</rfc>.</dd>
<dt><a id="TLS13" name="TLS13">[TLS13]</a></dt>
<dd><q>Le protocole Transport Layer Security (TLS) version 1.3</q>,
-2018. Voir <a href="https://tools.ietf.org/html/rfc8446"
->https://tools.ietf.org/html/rfc8446</a>.</dd>
+2018. Voir la <rfc>8446</rfc>.</dd>
</dl>
</section>
<!-- /references -->
projects / thirdparty / apache / httpd.git / commitdiff
