www/apache
1
0
Fork 0
mirror of https://github.com/apache/httpd.git synced 2026-01-06 09:01:14 +03:00
Code Activity
Files
4aad89fe8073796ac0b358ff7cc3b1b366e8b51b
apache/docs/manual/mod/mod_ssl_ct.html.fr
Luca Toscano 3a216c2776 Happy new year's documentation rebuild 
git-svn-id: https://svn.apache.org/repos/asf/httpd/httpd/trunk@1820055 13f79535-47bb-0310-9956-ffa450edef68
2018-01-04 10:58:20 +00:00

672 lines
39 KiB
Plaintext
Raw Blame History

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Strict//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr"><head>
<meta content="text/html; charset=ISO-8859-1" http-equiv="Content-Type" />
<!--
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
This file is generated from xml source: DO NOT EDIT
XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
-->
<title>mod_ssl_ct - Serveur Apache HTTP Version 2.5</title>
<link href="../style/css/manual.css" rel="stylesheet" media="all" type="text/css" title="Main stylesheet" />
<link href="../style/css/manual-loose-100pc.css" rel="alternate stylesheet" media="all" type="text/css" title="No Sidebar - Default font size" />
<link href="../style/css/manual-print.css" rel="stylesheet" media="print" type="text/css" /><link rel="stylesheet" type="text/css" href="../style/css/prettify.css" />
<script src="../style/scripts/prettify.min.js" type="text/javascript">
</script>
<link href="../images/favicon.ico" rel="shortcut icon" /></head>
<body>
<div id="page-header">
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p>
<p class="apache">Serveur Apache HTTP Version 2.5</p>
<img alt="" src="../images/feather.png" /></div>
<div class="up"><a href="./"><img title="&lt;-" alt="&lt;-" src="../images/left.gif" /></a></div>
<div id="path">
<a href="http://www.apache.org/">Apache</a> &gt; <a href="http://httpd.apache.org/">Serveur HTTP</a> &gt; <a href="http://httpd.apache.org/docs/">Documentation</a> &gt; <a href="../">Version 2.5</a> &gt; <a href="./">Modules</a></div>
<div id="page-content">
<div id="preamble"><h1>Module Apache mod_ssl_ct</h1>
<div class="toplang">
<p><span>Langues Disponibles: </span><a href="../en/mod/mod_ssl_ct.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="../fr/mod/mod_ssl_ct.html" title="Fran<61>ais">&nbsp;fr&nbsp;</a></p>
</div>
<table class="module"><tr><th><a href="module-dict.html#Description">Description:</a></th><td>Impl<70>mentation de la transparence des certificats
(Certificat Transparency - RFC 6962)
</td></tr>
<tr><th><a href="module-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="module-dict.html#ModuleIdentifier">Identificateur<75>de<64>Module:</a></th><td>ssl_ct_module</td></tr>
<tr><th><a href="module-dict.html#SourceFile">Fichier<65>Source:</a></th><td>mod_ssl_ct.c</td></tr></table>
<h3>Sommaire</h3>
<p>Ce module impl<70>mente la transparence des certificats en conjonction
avec <code class="module"><a href="../mod/mod_ssl.html">mod_ssl</a></code> et les outils en ligne de commande du
projet open source <a href="https://code.google.com/p/certificate-transparency/">certificate-transparency</a>.
Le but de la transparence des certificats consiste <20> r<>v<EFBFBD>ler
l'utilisation de certificats de confiance d<>livr<76>s par
erreur ou dans un but malintentionn<6E>. Vous trouverez plus de d<>tails <20>
propos de la transparence des certificats ici : <a href="http://www.certificate-transparency.org/">http://www.certificate-transparency.org/</a>.
Voici la signification des termes utilis<69>s dans cette documentation :</p>
<dl>
<dt>Certificate log</dt>
<dd>Un Certificate log, auquel on fera r<>f<EFBFBD>rence avec le simple
terme <q>log</q> tout au long de ce document, est un service r<>seau
auquel les certificats de serveurs sont soumis. Un agent
utilisateur peut v<>rifier que le certificat d'un serveur auquel il
acc<63>de a bien <20>t<EFBFBD> soumis <20> un log auquel il fait confiance, et que le log
lui-m<>me n'a pas rencontr<74> de probl<62>me avec ce certificat.</dd>
<dt>Horodatage sign<67> du certificat (Signed Certificate Timestamp - SCT)</dt>
<dd>Il s'agit d'une information en provenance d'un log indiquant qu'il
a valid<69> un certificat. Cet horodatage est sign<67> avec la cl<63> publique
du log. Un ou plusieurs SCTs sont pass<73>s au client durant la phase de
n<>gociation de la connexion, soit dans le ServerHello (extension TLS),
soit dans l'extension du certificat, soit dans une r<>ponse OCSP
jointe.</dd>
</dl>
<p>Cette impl<70>mentation pour Apache httpd fournit les fonctionnalit<69>s
suivantes pout les serveurs et mandataires TLS :</p>
<ul>
<li>Les SCTs peuvent <20>tre extraits automatiquement des logs, et en
conjonction avec tout SCT d<>fini statiquement, envoy<6F>s aux clients
qui les supportent durant la phase ServerHello de la n<>gociation de la
connexion.</li>
<li>Le serveur mandataire peut recevoir les SCTs en provenance du
serveur original au cours de la phase ServerHello sous la forme d'une
extension de certificat, et/ou au sein des r<>ponses OCSP agraf<61>es ;
tout SCT re<72>u peut <20>tre valid<69> partiellement en ligne, et
<20>ventuellement mis en file d'attente pour un examen plus approfondi
hors ligne.</li>
<li>Le serveur mandataire peut <20>tre configur<75> de fa<66>on <20> refuser la
communication avec un serveur original qui ne fournit pas de SCT
pouvant <20>tre valid<69> en ligne.</li>
</ul>
<p>La configuration des logs peut <20>tre d<>finie statiquement au niveau de
la configuration du serveur web, ou enregistr<74>e dans une base de donn<6E>es
SQLite3. Dans ce dernier cas, <code class="module"><a href="../mod/mod_ssl_ct.html">mod_ssl_ct</a></code> rechargera <20>
intervalles r<>guliers la base de donn<6E>es, de fa<66>on <20> ce que tout
changement dans la configuration de la maintenance et de la propagation
des logs pour un site sp<73>cifique ne n<>cessite pas de red<65>marrer httpd.</p>
<div class="note">Ce module en est au stade exp<78>rimental pour les raisons suivantes
:
<ul>
<li>Tests et retours d'information insuffisants</li>
<li>Repose sur une version non stable (version 1.0.2, Beta 3 ou
sup<75>rieure) d'OpenSSL pour les
op<6F>rations de base</li>
<li>Impl<70>mentation de la <a href="#audit">fonctionnalit<69> d'audit hors
ligne</a> incompl<70>te</li>
</ul>
<p>Les m<>canismes de configuration, le format des donn<6E>es enregistr<74>es
pour l'audit hors ligne, ainsi que d'autres caract<63>ristiques sont
appel<EFBFBD>s <20> <20>voluer en fonction des tests et retours d'informations <20>
venir.</p>
</div>
</div>
<div id="quickview"><h3>Sujets</h3>
<ul id="topics">
<li><img alt="" src="../images/down.gif" /> <a href="#server">Vue d'ensemble du fonctionnement au niveau du serveur</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#proxy">Vue d'ensemble du fonctionnement au niveau du serveur
mandataire</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#logconf">Configuration du log</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#static">Stockage des SCTs sous une forme compr<70>hensible pour mod_ssl_ct</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#logging">Journalisation des rep<65>res de temps des certificats (CT) dans
le journal des acc<63>s</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#audit">Audit hors ligne pour mandataire</a></li>
</ul><h3 class="directives">Directives</h3>
<ul id="toc">
<li><img alt="" src="../images/down.gif" /> <a href="#ctauditstorage">CTAuditStorage</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ctlogclient">CTLogClient</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ctlogconfigdb">CTLogConfigDB</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ctmaxsctage">CTMaxSCTAge</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ctproxyawareness">CTProxyAwareness</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ctsctstorage">CTSCTStorage</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ctserverhellosctlimit">CTServerHelloSCTLimit</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ctstaticlogconfig">CTStaticLogConfig</a></li>
<li><img alt="" src="../images/down.gif" /> <a href="#ctstaticscts">CTStaticSCTs</a></li>
</ul>
<h3>Traitement des bugs</h3><ul class="seealso"><li><a href="https://www.apache.org/dist/httpd/CHANGES_2.4">Journal des modifications de httpd</a></li><li><a href="https://bz.apache.org/bugzilla/buglist.cgi?bug_status=__open__&amp;list_id=144532&amp;product=Apache%20httpd-2&amp;query_format=specific&amp;order=changeddate%20DESC%2Cpriority%2Cbug_severity&amp;component=mod_ssl_ct">Probl<62>mes connus</a></li><li><a href="https://bz.apache.org/bugzilla/enter_bug.cgi?product=Apache%20httpd-2&amp;component=mod_ssl_ct">Signaler un bug</a></li></ul><h3>Voir aussi</h3>
<ul class="seealso">
<li><a href="#comments_section">Commentaires</a></li></ul></div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="server" id="server">Vue d'ensemble du fonctionnement au niveau du serveur</a></h2>
<p>Les serveurs doivent pouvoir envoyer les SCTs aux clients. Les SCTs
seront envoy<6F>s sous la forme d'une extension de certificat ou au sein
d'une r<>ponse OCSP agraf<61>e sans logique pr<70>programm<6D>e. Ce module g<>re
l'envoi des SCTs configur<75>s par l'administrateur ou en provenance des
logs d<>finis.</p>
<p>Le nombre de SCTs envoy<6F>s au cours de la phase ServerHello (c'est <20>
dire les SCTs autres que ceux inclus dans une extension de certificat
ou une r<>ponse OCSP agraf<61>e) peut <20>tre limit<69> via la directive
<code class="directive"><a href="#ctserverhellosctlimit">CTServerHelloSCTLimit</a></code>.</p>
<p>Pour chaque certificat de serveur, un processus maintient une liste
de SCTs <20> envoyer au cours de la phase ServerHello ; cette liste est
cr<63><72>e <20> partir des SCTs configur<75>s statiquement, mais aussi <20> partir
de ceux re<72>us depuis les logs. Les logs marqu<71>s comme suspects ou
arriv<69>s <20> p<>remption seront ignor<6F>s. A intervalles r<>guliers, le
processus va soumettre les certificats <20> un log selon les besoins
(suite <20> un changement de configuration du log ou de sa dur<75>e de vie),
et reconstruire la concat<61>nation des SCTs.</p>
<p>La liste des SCTs pour un certificat de serveur sera envoy<6F>e au
cours de la phase ClientHello, lorsque ce certificat de serveur
particulier est utilis<69>, <20> tout client qui fait savoir qu'il supporte
cette fonctionnalit<69>.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="proxy" id="proxy">Vue d'ensemble du fonctionnement au niveau du serveur
mandataire</a></h2>
<p>Le serveur mandataire indique qu'il supporte la Transparence des
Certificats au cours de la phase ClientHello en incluant l'extension
<em>signed_certificate_timestamp</em>. Il peut reconna<6E>tre les SCTs
re<72>us au cours de la phase ServerHello dans une extension du
certificat du serveur original, ou au sein d'une r<>ponse OCSP agraf<61>e.</p>
<p>Une v<>rification en ligne est effectu<74>e pour tout SCT re<72>u :</p>
<ul>
<li>Le rep<65>re de temps de chaque SCT peut <20>tre v<>rifi<66> pour voir
s'il n'est pas encore valide en le comparant avec l'heure actuelle
ou tout intervalle de temps valide d<>fini pour le log.</li>
<li>Dans le cas d'un SCT issu d'un log pour lequel une cl<63> publique
a <20>t<EFBFBD> d<>finie, la signature du serveur sera v<>rifi<66>e.</li>
</ul>
<p>Si la v<>rification <20>choue ou renvoie un r<>sultat n<>gatif pour au
moins un SCT et si la directive <code class="directive"><a href="#ctproxyawareness">CTProxyAwareness</a></code> est d<>finie <20>
<em>require</em>, la tentative de connexion est abandonn<6E>e.</p>
<p>En outre, si la directive <code class="directive"><a href="#ctauditstorage">CTAuditStorage</a></code> est d<>finie, la cha<68>ne
de certification du serveur et les SCTs sont stock<63>s pour une
v<>rification hors ligne.</p>
<p>A titre d'optimisation, la v<>rification en ligne et le stockage des
donn<6E>es en provenance du serveur ne sont effectu<74>s que la premi<6D>re
fois o<> un processus enfant du serveur web re<72>oit ces donn<6E>es, ce qui
permet d'<27>conomiser du temps processeur et de l'espace disque. Dans le
cas d'une configuration typique de mandataire inverse, seule une
l<>g<EFBFBD>re augmentation de la charge processeur sera induite.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="logconf" id="logconf">Configuration du log</a></h2>
<p>Les serveurs et les mandataires utilisent des informations
diff<66>rentes en ce qui concerne les logs et leurs traitements. Cette
<em>configuration des logs</em> peut <20>tre effectu<74>e de deux mani<6E>res :</p>
<ul>
<li>On peut cr<63>er une base de donn<6E>es pour configurer le log en
utilisant la commande <code class="program"><a href="../programs/ctlogconfig.html">ctlogconfig</a></code> et en
d<>finissant le chemin vers cette base de donn<6E>es via la directive
<code class="directive"><a href="#ctlogconfig">CTLogConfig</a></code>.
<code class="module"><a href="../mod/mod_ssl_ct.html">mod_ssl_ct</a></code> relit la base de donn<6E>es <20>
intervalles r<>guliers ; cette m<>thode de configuration supporte donc
les mises <20> jour dynamiques. En outre, la commande d'audit hors
ligne <code>ctauditscts</code> peut utiliser cette configuration pour
trouver l'URL des logs.</li>
<li>On peut aussi configurer les logs statiquement via la directive
<code class="directive"><a href="#ctstaticlogconfig">CTStaticLogConfig</a></code>. Toute
modification de cette directive n<>cessitera alors un red<65>marrage du serveur
pour <20>tre prise en compte, comme pour toutes les autres directives.</li>
</ul>
<p>Les <20>l<EFBFBD>ments de configuration pouvant <20>tre d<>finis par l'une ou
l'autre m<>thode sont les suivants :</p>
<dl>
<dt>Identifiant du log</dt>
<dd>L'identifiant du log est le hash SHA-256 de sa cl<63> publique, et
est inclus dans tout SCT. Ceci permet d'identifier ais<69>ment un log
particulier lorsqu'on d<>finit des plages de rep<65>res de temps
valides ou certaines autres informations.</dd>
<dt>Cl<43> publique du log</dt>
<dd>Un mandataire doit disposer de la cl<63> publique du log afin de
pouvoir v<>rifier la signature dans les SCTs en provenance de ce log.
<br />
Un serveur doit poss<73>der la cl<63> publique du log afin de pouvoir lui
soumettre des certificats.</dd>
<dt>Configuration g<>n<EFBFBD>rale confiance/m<>fiance</dt>
<dd>Il s'agit d'un m<>canisme permettant d'instaurer une m<>fiance ou
de restaurer une confiance envers un log donn<6E> pour certaines
raisons particuli<6C>res (y compris la simple interruption des
interactions avec le log dans les situations o<> il est hors ligne).</dd>
<dt>Rep<65>res de temps minima et/ou maxima valides</dt>
<dd>Lorsqu'ils sont d<>finis, le mandataire pourra v<>rifier que les
rep<65>res de temps contenus dans les SCTs sont compris dans une plage
valide</dd>
<dt>URL du log</dt>
<dd>Pour qu'un serveur puisse soumettre des certificats de serveur <20>
un log, il doit conna<6E>tre l'URL de ce dernier (pour son API). Le
serveur soumettra chaque certificat de serveur afin d'obtenir un
SCT pour chaque log dont l'URL est d<>finie, sauf pour les logs aussi
marqu<71>s comme non dignes de confiance ou si l'heure actuelle ne se
situe dans aucune des plages de temps valides d<>finies.
<br />
L'audit hors ligne des SCTs re<72>us par un mandataire n<>cessite aussi
de conna<6E>tre l'URL du log.</dd>
</dl>
<p>En g<>n<EFBFBD>ral, seuls quelque uns de ces <20>l<EFBFBD>ments de configuration sont
d<>finis pour un log donn<6E>. Pour plus de d<>tails, veuillez vous r<>f<EFBFBD>rer
<20> la documentation de la directive <code class="directive"><a href="#ctstaticlogconfig">CTStaticLogConfig</a></code> et de la commande
<code class="program"><a href="../programs/ctlogconfig.html">ctlogconfig</a></code>.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="static" id="static">Stockage des SCTs sous une forme compr<70>hensible pour mod_ssl_ct</a></h2>
<p>Le module <code class="module"><a href="../mod/mod_ssl_ct.html">mod_ssl_ct</a></code> permet de configurer les SCTs
de mani<6E>re statique via la directive
<code class="directive">CTStaticSCTs</code>. Ils doivent alors <20>tre sous une forme
binaire pr<70>te <20> <20>tre envoy<6F>e au client.</p>
<p>Vous trouverez dans le <a href="https://github.com/tomrittervg/ct-tools">D<>p<EFBFBD>t ct-tools de Tom
Ritter</a> un exemple de code sous la forme d'un script Python
(<code>write-sct.py</code>) permettant de g<>n<EFBFBD>rer un SCT sous un
format correct avec des donn<6E>es en provenance d'un log.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="logging" id="logging">Journalisation des rep<65>res de temps des certificats (CT) dans
le journal des acc<63>s</a></h2>
<p>Dans les deux modes mandataire et serveur, les variables
<code>SSL_CT_PROXY_STATUS</code> et
<code>SSL_CT_CLIENT_STATUS</code> sont d<>finies et indiquent si le
serveur supporte les CTs.</p>
<p>Dans le mode mandataire, la variable
<code>SSL_CT_PROXY_SCT_SOURCES</code> est d<>finie pour indiquer si des
SCTs ont <20>t<EFBFBD> re<72>us ainsi que leur source (phase ServerHello de la
connexion, extension de certificat, etc...).</p>
<p>Les valeurs de ces variables peuvent <20>tre journalis<69>es via la
cha<68>ne de format <code>%{<em>varname</em>}e</code> de
<code class="module"><a href="../mod/mod_log_config.html">mod_log_config</a></code>.</p>
</div><div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="section">
<h2><a name="audit" id="audit">Audit hors ligne pour mandataire</a></h2>
<p>Le support de cette fonctionnalit<69> en est au stade exp<78>rimental, et
est impl<70>ment<6E> par la commande <code>ctauditscts</code>, qui repose
elle-m<>me sur l'utilitaire <code>verify_single_proof.py</code> du
projet open source <em>certificate-transparency</em>. La commande
<code>ctauditscts</code> peut parcourir des donn<6E>es, et ainsi effectuer
un audit hors ligne (activ<69> via la directive <code class="directive"><a href="#ctauditstorage">CTAuditStorage</a></code>) en invoquant
l'utilitaire <code>verify_single_proof.py</code>.</p>
<p>Voici quelques indication <20> l'<27>tat brut pour l'utilisation de
<code>ctauditscts</code> :</p>
<ul>
<li>Cr<43>ez un <em>virtualenv</em> en utilisant le fichier
<code>requirements.txt</code> du projet
<em>certificate-transparency</em>, et ex<65>cuter les <20>tapes suivantes
avec ce <em>virtualenv</em> activ<69>.</li>
<li>D<>finissez <code>PYTHONPATH</code> de fa<66>on <20> inclure le
r<>pertoire <code>python</code> dans les chemins par d<>faut des
utilitaires du projet <em>certificate-transparency</em>.</li>
<li>D<>finissez <code>PATH</code> de fa<66>on <20> inclure le chemin du
r<>pertoire <code>python/ct/client/tools</code>.</li>
<li>Ex<45>cutez la commande <code>ctauditscts</code> avec comme
arguments la valeur de la directive
<code class="directive">CTAuditStorage</code>, et <20>ventuellement le chemin
de la base de donn<6E>es de configuration des logs. Cette derni<6E>re sera
utilis<69>e pour extraire les URLs des logs en fonction de leurs
identifiants.</li>
</ul>
<p>Les donn<6E>es stock<63>es <20> des fins d'audit peuvent aussi <20>tre
utilis<69>es par d'autres programmes ; veuillez vous r<>f<EFBFBD>rer au code
source de <code>ctauditscts</code> pour plus de d<>tails <20> propos du
traitement des donn<6E>es.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ctauditstorage" id="ctauditstorage">Directive</a> <a name="CTAuditStorage" id="CTAuditStorage">CTAuditStorage</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>R<>pertoire de stockage des donn<6E>es pour l'audit hors ligne</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>CTAuditStorage <em>directory</em></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>none</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl_ct</td></tr>
</table>
<p>La directive <code class="directive">CTAuditStorage</code> permet de
d<>finir le chemin du r<>pertoire o<> les donn<6E>es destin<69>es <20> un audit hors
ligne seront stock<63>es. Ce r<>pertoire doit exister au pr<70>alable. Si le
chemin contenu dans l'argument <em>directory</em> n'est pas absolu, il
sera consid<69>r<EFBFBD> comme relatif au chemin d<>fini par la directive
<code class="directive"><a href="../mod/core.html#defaultruntimedir">DefaultRuntimeDir</a></code>.</p>
<p>Si cette directive n'est pas d<>finie, aucune donn<6E>e ne sera stock<63>e
en vue d'un audit hors ligne.</p>
<p>Le r<>pertoire consid<69>r<EFBFBD> contiendra des fichiers nomm<6D>s
<code><em>PID</em>.tmp</code> pour les processus enfants actifs et
<code><em>PID</em>.out</code> pour les processus enfants termin<69>s. Les
donn<6E>es disponibles pour un audit hors ligne sont donc contenues dans les
fichiers <code>.out</code>. La commande exp<78>rimentale
<code>ctauditscts</code> (situ<74>e dans l'arborescence des sources de
httpd, mais non encore prise en compte par le processus
d'installation), fait appel aux utilitaires du projet
<em>certificate-transparency</em> pour effectuer l'audit.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ctlogclient" id="ctlogclient">Directive</a> <a name="CTLogClient" id="CTLogClient">CTLogClient</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Chemin de l'utilitaire client du log certificate-transparency</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>CTLogClient <em>executable</em></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>none</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl_ct</td></tr>
</table>
<p><em>executable</em> est le chemin complet de l'utilitaire client du
log qui est normalement le fichier <code>cpp/client/ct</code> (ou
<code>ct.exe</code>) de l'arborescence des sources du projet open
source <a href="https://code.google.com/p/certificate-transparency/">certificate-transparency</a>.</p>
<p>Il est possible d'utiliser une impl<70>mentation alternative pour
extraire les SCTs d'un certificat de serveur <20> partir du moment o<>
l'interface de la ligne de commande est <20>quivalente.</p>
<p>Si cette directive n'est pas d<>finie, il n'est pas possible de
soumettre les certificats aux logs pour en extraire les SCTs ; seuls
les SCTs g<>r<EFBFBD>s par l'administrateur ou situ<74>s dans une extension de
certificat seront alors fournis aux clients.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ctlogconfigdb" id="ctlogconfigdb">Directive</a> <a name="CTLogConfigDB" id="CTLogConfigDB">CTLogConfigDB</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Base de donn<6E>es pour la configuration des logs avec mises <20>
jour dynamiques</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>CTLogConfigDB <em>filename</em></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>none</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl_ct</td></tr>
</table>
<p>La directive <code class="directive">CTLogConfigDB</code> permet de d<>finir
le nom de la base de donn<6E>es contenant la configuration des logs
connus. Si le chemin contenu dans <em>filename</em> n'est pas absolu,
il est consid<69>r<EFBFBD> comme relatif au chemin d<>fini par la directive
<code class="directive"><a href="../mod/core.html#serverroot">ServerRoot</a></code>.</p>
<p>Veuillez vous r<>f<EFBFBD>rer <20> la documentation du programme
<code class="program"><a href="../programs/ctlogconfig.html">ctlogconfig</a></code> qui g<>re la base de donn<6E>es.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ctmaxsctage" id="ctmaxsctage">Directive</a> <a name="CTMaxSCTAge" id="CTMaxSCTAge">CTMaxSCTAge</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Age maximum d'un SCT obtenu depuis un log avant son
raffra<EFBFBD>chissement</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>CTMaxSCTAge <em>num-seconds</em></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>1 jour</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl_ct</td></tr>
</table>
<p>Les certificats de serveur dont les SCTs sont sup<75>rieurs <20> cet <20>ge
maximum seront soumis <20> nouveau aux logs d<>finis. En g<>n<EFBFBD>ral, le log
va renvoyer le m<>me SCT que pr<70>c<EFBFBD>demment, mais ceux-ci font alors l'objet
d'une op<6F>ration de la part du log. Les SCTs seront raffra<72>chis autant que
n<>cessaire au cours du fonctionnement normal du serveur, les nouveaux
SCTs <20>tant envoy<6F>s aux clients au fur et <20> mesure de leur
disponibilit<69>.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ctproxyawareness" id="ctproxyawareness">Directive</a> <a name="CTProxyAwareness" id="CTProxyAwareness">CTProxyAwareness</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Niveau de prise en compte et de mise en oeuvre des CTs pour un
mandataire
</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>CTProxyAwareness <em>oblivious|aware|require</em></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>aware</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur, serveur virtuel</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl_ct</td></tr>
</table>
<p>Cette directive permet de contr<74>ler la prise en compte et les
recherches de SCTs valides pour un mandataire. Les options disponibles
sont les suivantes :</p>
<dl>
<dt>oblivious</dt>
<dd>Le mandataire de demandera jamais de SCTs, et par cons<6E>quent
n'en examinera pas. Le processus de transparance des certificats est
alors enti<74>rement d<>sactiv<69> pour ce mandataire.</dd>
<dt>aware</dt>
<dd>Le mandataire prendra en charge l'ensemble du processus de
transparence des certificats, <20> savoir la recherche de SCTs et leur
examen. Le mandataire n'interrompra cependant pas la connexion si le
serveur original ne fournit pas de SCTs valides.</dd>
<dt>require</dt>
<dd>Le mandataire interrompra la connexion avec le serveur original
si ce dernir ne fournit pas au moins un SCT qui passe avec succ<63>s le
test de validation en ligne.</dd>
</dl>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ctsctstorage" id="ctsctstorage">Directive</a> <a name="CTSCTStorage" id="CTSCTStorage">CTSCTStorage</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>R<>pertoire o<> les SCTs sont stock<63>s</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>CTSCTStorage <em>directory</em></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>none</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl_ct</td></tr>
</table>
<p>La directive <code class="directive">CTSCTStorage</code> permet de d<>finir
le nom du r<>pertoire o<> les SCTs et listes de SCTs seront stock<63>s. Si
le chemin contenu dans <em>directory</em> n'est pas absolu, il sera
consid<69>r<EFBFBD> comme relatif au chemin d<>fini par la directive <code class="directive"><a href="../mod/core.html#defaultruntimedir">DefaultRuntimeDir</a></code>.</p>
<p>Chaque certificat voit ses informations stock<63>es dans un sous-r<>pertoire
qui lui est propre ; le nom de ce sous-r<>pertoire correspond au hash
SHA-256 du certificat consid<69>r<EFBFBD>.</p>
<p>Les sous-r<>pertoires propres <20> chaque certificat contiennent des
SCTs en provenance des logs d<>finis, des listes de SCTs pr<70>par<61>es <20>
partir des SCTs configur<75>s statiquement et des SCTs extraits, ainsi
que diverses informations utilis<69>es pour g<>rer les SCTs.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ctserverhellosctlimit" id="ctserverhellosctlimit">Directive</a> <a name="CTServerHelloSCTLimit" id="CTServerHelloSCTLimit">CTServerHelloSCTLimit</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Nombre maximum de SCTs pouvant <20>tre renvoy<6F>s au cours de la
phase ServerHello</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>CTServerHelloSCTLimit <em>limit</em></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>100</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl_ct</td></tr>
</table>
<p>Cette directive permet de d<>finir le nombre maximum de SCTs pouvant
<20>tre renvoy<6F>s par un serveur TLS au cours de la phase ServerHello dans
le cas o<> le nombre de logs d<>finis et de SCTs d<>finis statiquement
est assez important.</p>
<p>En g<>n<EFBFBD>ral, seuls quelques SCTs sont disponibles, cette directive
n'est donc n<>cessaire que dans certaines circonstances particuli<6C>res.</p>
<p>Cette directive ne tient pas compte des SCTs contenus dans les
extensions de certificats ou les r<>ponses OCSP agraf<61>es.</p>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ctstaticlogconfig" id="ctstaticlogconfig">Directive</a> <a name="CTStaticLogConfig" id="CTStaticLogConfig">CTStaticLogConfig</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configuration statique d'un log</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>CTStaticLogConfig <em>log-id|-</em> <em>public-key-file|-</em>
<em>1|0|-</em> <em>min-timestamp|-</em> <em>max-timestamp|-</em>
<em>log-URL|-</em></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>none</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl_ct</td></tr>
</table>
<p>Cette directive permet de configurer un log particulier. Elle est
particuli<6C>rement appropri<72>e dans les cas o<> cette configuration est
rarement modifi<66>e. Si votre cas n<>cessite plut<75>t une configuration
dynamique, veuillez vous r<>f<EFBFBD>rer <20> la documentation de la directive
<code class="directive"><a href="#ctlogconfigdb">CTLogConfigDB</a></code>.</p>
<p>Chacun des six champs doit <20>tre renseign<67>, mais en g<>n<EFBFBD>ral, la
configuration d'un log n<>cessite peu d'information ; utilisez
<em>-</em> lorsque vous ne disposez d'aucune information <20> sp<73>cifier
pour un champ particulier. Par exemple, dans le cas d'une
configuration de serveur simple (non mandataire), l'administrateur n'a
besoin de sp<73>cifier que l'URL du log auquel soumettre des certificats de
serveur afin d'en extraire les SCTs.</p>
<p>Les champs se d<>finissent comme suit :</p>
<dl>
<dt><em>log-id</em></dt>
<dd>Il s'agit de l'identifiant du log qui correspond au hash SHA-256
de la cl<63> publique du log, cod<6F> en hexad<61>cimal. Cette cha<68>ne a une
taille de 64 caract<63>res.
<br />
Ce champ peut <20>tre omis lorsque <em>public-key-file</em> est
renseign<67>.</dd>
<dt><em>public-key-file</em></dt>
<dd>Il s'agit du chemin d'un fichier contenant la cl<63> publique du log
cod<6F>e au format PEM. Si ce chemin n'est pas absolu, il est consid<69>r<EFBFBD>
comme relatif au chemin d<>fini par la directive <code class="directive"><a href="../mod/core.html#serverroot">ServerRoot</a></code>.</dd>
<dt><em>trust/distrust</em></dt>
<dd>D<>finissez ce champ <20> <em>1</em> pour marquer le log comme non
digne de confiance, ou pour tout simplement interdire son
utilisation pour le traitement des certificats. D<>finissez ce champ
<20> <em>-</em> ou <em>0</em> (valeur par d<>faut) pour accorder votre
confiance au log.</dd>
<dt><em>min-timestamp</em> et <em>max-timestamp</em></dt>
<dd>Un rep<65>re de temps (timestamp) est un temps exprim<69> en
millisecondes depuis le temps epoch, sans tenir compte des secondes
saut<75>es. C'est le format de temps utilis<69> dans les SCTs. Le rep<65>re
de temps doit <20>tre fourni sous la forme d'un nombre d<>cimal.
<br />
Sp<53>cifiez <strong><code>-</code></strong> pour un des rep<65>res de
temps s'il n'est pas connu. Par exemple, lorsque vous d<>finissez le
rep<65>re de temps minimum valide pour un log qui reste valide,
sp<73>cifiez <strong><code>-</code></strong> pour
<em>max-timestamp</em>.
<br />
Les SCTs re<72>u par le mandataire depuis ce log seront invalides si le
rep<65>re de temps est plus ancien que <em>min-timestamp</em> ou plus
r<>cent que <em>max-timestamp</em>.</dd>
<dt><em>log-URL</em></dt>
<dd>Il s'agit de l'URL du log auquel soumettre les certificats de
serveur et ainsi obtenir des SCTs <20> envoyer aux clients.</dd>
</dl>
<h3>Voir aussi</h3>
<ul>
<li>Le paragraphe <a href="#logconf">Configuration des logs</a>
contient des informations <20> caract<63>re plus g<>n<EFBFBD>ral <20> propos des champs qui
peuvent <20>tre d<>finis via cette directive.</li>
</ul>
</div>
<div class="top"><a href="#page-header"><img alt="top" src="../images/up.gif" /></a></div>
<div class="directive-section"><h2><a name="ctstaticscts" id="ctstaticscts">Directive</a> <a name="CTStaticSCTs" id="CTStaticSCTs">CTStaticSCTs</a></h2>
<table class="directive">
<tr><th><a href="directive-dict.html#Description">Description:</a></th><td>Configuration statique d'un ou plusieurs SCTs pour un
certificat de serveur
</td></tr>
<tr><th><a href="directive-dict.html#Syntax">Syntaxe:</a></th><td><code>CTStaticSCTs <em>certificate-pem-file</em> <em>sct-directory</em></code></td></tr>
<tr><th><a href="directive-dict.html#Default">D<>faut:</a></th><td><code>none</code></td></tr>
<tr><th><a href="directive-dict.html#Context">Contexte:</a></th><td>configuration du serveur</td></tr>
<tr><th><a href="directive-dict.html#Status">Statut:</a></th><td>Extension</td></tr>
<tr><th><a href="directive-dict.html#Module">Module:</a></th><td>mod_ssl_ct</td></tr>
</table>
<p>Cette directive permet de d<>finir statiquement un ou plusieurs SCTs
correspondant <20> un certificat de serveur. Ce m<>canisme peut <20>tre
utilis<69> <20> la place ou en compl<70>ment de l'obtention dynamique des SCTs
en provenance des logs. Toute modification dans le jeu de SCTs d'un
certificat de serveur particulier sera prise en compte de mani<6E>re
dynamique sans avoir <20> red<65>marrer le serveur.</p>
<p><em>certificate-pem-file</em> fait r<>f<EFBFBD>rence au fichier contenant
le certificat de serveur au format PEM. Si ce chemin n'est pas absolu,
il sera consid<69>r<EFBFBD> comme relatif au chemin d<>fini par la directive
<code class="directive"><a href="../mod/core.html#serverroot">ServerRoot</a></code>.</p>
<p><em>sct-directory</em> doit contenir le chemin vers un ou plusieurs
fichiers poss<73>dant l'extension de nom de fichier <code>.sct</code>,
repr<70>sentant un ou plusieurs SCTs correspondant au certificat de
serveur. Si ce chemin n'est pas absolu,
il sera consid<69>r<EFBFBD> comme relatif au chemin d<>fini par la directive
<code class="directive"><a href="../mod/core.html#serverroot">ServerRoot</a></code>.</p>
<p>Si <em>sct-directory</em> est vide, aucun message d'erreur ne sera
affich<63>.</p>
<p>Cette directive peut servir <20> identifier des r<>pertoires de SCTs
g<>r<EFBFBD>s par une autre infrastructure, sous r<>serve qu'ils soient
enregistr<74>s au format binaire avec l'extension de nom de fichier
<em>.sct</em>.</p>
</div>
</div>
<div class="bottomlang">
<p><span>Langues Disponibles: </span><a href="../en/mod/mod_ssl_ct.html" hreflang="en" rel="alternate" title="English">&nbsp;en&nbsp;</a> |
<a href="../fr/mod/mod_ssl_ct.html" title="Fran<61>ais">&nbsp;fr&nbsp;</a></p>
</div><div class="top"><a href="#page-header"><img src="../images/up.gif" alt="top" /></a></div><div class="section"><h2><a id="comments_section" name="comments_section">Commentaires</a></h2><div class="warning"><strong>Notice:</strong><br />This is not a Q&amp;A section. Comments placed here should be pointed towards suggestions on improving the documentation or server, and may be removed again by our moderators if they are either implemented or considered invalid/off-topic. Questions on how to manage the Apache HTTP Server should be directed at either our IRC channel, #httpd, on Freenode, or sent to our <a href="http://httpd.apache.org/lists.html">mailing lists</a>.</div>
<script type="text/javascript"><!--//--><![CDATA[//><!--
var comments_shortname = 'httpd';
var comments_identifier = 'http://httpd.apache.org/docs/trunk/mod/mod_ssl_ct.html';
(function(w, d) {
if (w.location.hostname.toLowerCase() == "httpd.apache.org") {
d.write('<div id="comments_thread"><\/div>');
var s = d.createElement('script');
s.type = 'text/javascript';
s.async = true;
s.src = 'https://comments.apache.org/show_comments.lua?site=' + comments_shortname + '&page=' + comments_identifier;
(d.getElementsByTagName('head')[0] || d.getElementsByTagName('body')[0]).appendChild(s);
}
else {
d.write('<div id="comments_thread">Comments are disabled for this page at the moment.<\/div>');
}
})(window, document);
//--><!]]></script></div><div id="footer">
<p class="apache">Copyright 2018 The Apache Software Foundation.<br />Autoris<69> sous <a href="http://www.apache.org/licenses/LICENSE-2.0">Apache License, Version 2.0</a>.</p>
<p class="menu"><a href="../mod/">Modules</a> | <a href="../mod/quickreference.html">Directives</a> | <a href="http://wiki.apache.org/httpd/FAQ">FAQ</a> | <a href="../glossary.html">Glossaire</a> | <a href="../sitemap.html">Plan du site</a></p></div><script type="text/javascript"><!--//--><![CDATA[//><!--
if (typeof(prettyPrint) !== 'undefined') {
prettyPrint();
}
//--><!]]></script>
</body></html>
View Git Blame Copy Permalink