Chiffrement fort SSL/TLS : Compatibilitï¿½

Langues Disponibles: en | fr

Ce document couvre la compatibilitï¿½ ascendante entre mod_ssl et d'autres solutions SSL. mod_ssl n'est pas la seule solution SSL pour Apache ; quatre autres produits sont (ou ont ï¿½tï¿½) ï¿½galement disponibles : Apache-SSL, le produit libre de Ben Laurie (d'oï¿½ mod_ssl est issu ï¿½ l'origine en 1998), Secure Web Server, un produit commercial de Red Hat (basï¿½ sur mod_ssl), Raven SSL Module, un produit commercial de Covalent (basï¿½ lui aussi sur mod_ssl), et enfin Stronghold, produit commercial de C2Net et maintenant de Red Hat, (basï¿½ sur une branche d'ï¿½volution diffï¿½rente appelï¿½e Sioux jusqu'ï¿½ Stronghold 2.x et basï¿½ sur mod_ssl depuis Stronghold 3.x).

En plus de ses fonctionnalitï¿½s propres, mod_ssl rassemble la plupart de celles des autres solutions SSL, si bien qu'il est trï¿½s simple de migrer depuis un module plus ancien vers mod_ssl. Les directives de configuration et les noms des variables d'environnement utilisï¿½s par les solutions SSL plus anciennes diffï¿½rent de ceux qu'utilise mod_ssl ; les tableaux de correspondance ci-dessous fournissent les ï¿½quivalences de termes utilisï¿½s par mod_ssl.

Directives de configuration
Variables d'environnement
Fonctions de personnalisation des journaux

Voir aussi

Commentaires

Directives de configuration

La correspondance entre les directives de configuration qu'utilise Apache-SSL 1.x et mod_ssl 2.0.x est fournie dans le Tableau 1. La correspondance depuis Sioux 1.x et Stronghold 2.x n'est que partielle car certaines fonctionnalitï¿½s de ces interfaces ne sont pas supportï¿½es par mod_ssl.

Tableau 1: Correspondance entre les directives de configuration

Ancienne directive	Directive mod_ssl	Commentaires
Compatibilitï¿½ entre Apache-SSL 1.x et mod_ssl 2.0.x :
`SSLEnable`	`SSLEngine on`	plus compacte
`SSLDisable`	`SSLEngine off`	plus compacte
`SSLLogFile` file		Utilisez plutï¿½t la directive de niveau module `LogLevel`.
`SSLRequiredCiphers` spec	`SSLCipherSuite` spec	renommï¿½e
`SSLRequireCipher` c1 ...	`SSLRequire %{SSL_CIPHER} in {"`c1`", ...}`	plus gï¿½nï¿½rale
`SSLBanCipher` c1 ...	`SSLRequire not (%{SSL_CIPHER} in {"`c1`", ...})`	plus gï¿½nï¿½rale
`SSLFakeBasicAuth`	`SSLOptions +FakeBasicAuth`	rassemblï¿½es
`SSLCacheServerPath` dir	-	fonctionnalitï¿½ supprimï¿½e
`SSLCacheServerPort` integer	-	fonctionnalitï¿½ supprimï¿½e
Compatibilitï¿½ avec Apache-SSL 1.x :
`SSLExportClientCertificates`	`SSLOptions +ExportCertData`	rassemblï¿½es
`SSLCacheServerRunDir` dir	-	fonctionnalitï¿½ non supportï¿½e
Compatibilitï¿½ avec Sioux 1.x :
`SSL_CertFile` file	`SSLCertificateFile` file	renommï¿½e
`SSL_KeyFile` file	`SSLCertificateKeyFile` file	renommï¿½e
`SSL_CipherSuite` arg	`SSLCipherSuite` arg	renommï¿½e
`SSL_X509VerifyDir` arg	`SSLCACertificatePath` arg	renommï¿½e
`SSL_Log` file	`-`	Utilisez plutï¿½t la directive de niveau module `LogLevel`
`SSL_Connect` flag	`SSLEngine` flag	renommï¿½e
`SSL_ClientAuth` arg	`SSLVerifyClient` arg	renommï¿½e
`SSL_X509VerifyDepth` arg	`SSLVerifyDepth` arg	renommï¿½e
`SSL_FetchKeyPhraseFrom` arg	-	pas de vï¿½ritable ï¿½quivalent ; utiliser SSLPassPhraseDialog
`SSL_SessionDir` dir	-	pas de vï¿½ritable ï¿½quivalent ; utiliser SSLSessionCache
`SSL_Require` expr	-	pas de vï¿½ritable ï¿½quivalent ; utiliser SSLRequire
`SSL_CertFileType` arg	-	fonctionnalitï¿½ non supportï¿½e
`SSL_KeyFileType` arg	-	fonctionnalitï¿½ non supportï¿½e
`SSL_X509VerifyPolicy` arg	-	fonctionnalitï¿½ non supportï¿½e
`SSL_LogX509Attributes` arg	-	fonctionnalitï¿½ non supportï¿½e
Compatibilitï¿½ avec Stronghold 2.x :
`StrongholdAccelerator` engine	`SSLCryptoDevice` engine	renommï¿½e
`StrongholdKey` dir	-	sans objet
`StrongholdLicenseFile` dir	-	sans objet
`SSLFlag` flag	`SSLEngine` flag	renommï¿½e
`SSLSessionLockFile` file	`SSLMutex` file	renommï¿½e
`SSLCipherList` spec	`SSLCipherSuite` spec	renommï¿½e
`RequireSSL`	`SSLRequireSSL`	renommï¿½e
`SSLErrorFile` file	-	fonctionnalitï¿½ non supportï¿½e
`SSLRoot` dir	-	fonctionnalitï¿½ non supportï¿½e
`SSL_CertificateLogDir` dir	-	fonctionnalitï¿½ non supportï¿½e
`AuthCertDir` dir	-	fonctionnalitï¿½ non supportï¿½e
`SSL_Group` name	-	fonctionnalitï¿½ non supportï¿½e
`SSLProxyMachineCertPath` dir	`SSLProxyMachineCertificatePath` dir	renommï¿½e
`SSLProxyMachineCertFile` file	`SSLProxyMachineCertificateFile` file	renommï¿½e
`SSLProxyCipherList` spec	`SSLProxyCipherSpec` spec	renommï¿½e

Variables d'environnement

La correspondance entre les noms des variables d'environnement utilisï¿½s par les solutions SSL plus anciennes et les noms utilisï¿½s par mod_ssl est fournie dans le Tableau 2.

Tableau 2: Dï¿½rivation des variables d'environnement

Ancienne variable	Variable mod_ssl	Commentaires
`SSL_PROTOCOL_VERSION`	`SSL_PROTOCOL`	renommï¿½e
`SSLEAY_VERSION`	`SSL_VERSION_LIBRARY`	renommï¿½e
`HTTPS_SECRETKEYSIZE`	`SSL_CIPHER_USEKEYSIZE`	renommï¿½e
`HTTPS_KEYSIZE`	`SSL_CIPHER_ALGKEYSIZE`	renommï¿½e
`HTTPS_CIPHER`	`SSL_CIPHER`	renommï¿½e
`HTTPS_EXPORT`	`SSL_CIPHER_EXPORT`	renommï¿½e
`SSL_SERVER_KEY_SIZE`	`SSL_CIPHER_ALGKEYSIZE`	renommï¿½e
`SSL_SERVER_CERTIFICATE`	`SSL_SERVER_CERT`	renommï¿½e
`SSL_SERVER_CERT_START`	`SSL_SERVER_V_START`	renommï¿½e
`SSL_SERVER_CERT_END`	`SSL_SERVER_V_END`	renommï¿½e
`SSL_SERVER_CERT_SERIAL`	`SSL_SERVER_M_SERIAL`	renommï¿½e
`SSL_SERVER_SIGNATURE_ALGORITHM`	`SSL_SERVER_A_SIG`	renommï¿½e
`SSL_SERVER_DN`	`SSL_SERVER_S_DN`	renommï¿½e
`SSL_SERVER_CN`	`SSL_SERVER_S_DN_CN`	renommï¿½e
`SSL_SERVER_EMAIL`	`SSL_SERVER_S_DN_Email`	renommï¿½e
`SSL_SERVER_O`	`SSL_SERVER_S_DN_O`	renommï¿½e
`SSL_SERVER_OU`	`SSL_SERVER_S_DN_OU`	renommï¿½e
`SSL_SERVER_C`	`SSL_SERVER_S_DN_C`	renommï¿½e
`SSL_SERVER_SP`	`SSL_SERVER_S_DN_SP`	renommï¿½e
`SSL_SERVER_L`	`SSL_SERVER_S_DN_L`	renommï¿½e
`SSL_SERVER_IDN`	`SSL_SERVER_I_DN`	renommï¿½e
`SSL_SERVER_ICN`	`SSL_SERVER_I_DN_CN`	renommï¿½e
`SSL_SERVER_IEMAIL`	`SSL_SERVER_I_DN_Email`	renommï¿½e
`SSL_SERVER_IO`	`SSL_SERVER_I_DN_O`	renommï¿½e
`SSL_SERVER_IOU`	`SSL_SERVER_I_DN_OU`	renommï¿½e
`SSL_SERVER_IC`	`SSL_SERVER_I_DN_C`	renommï¿½e
`SSL_SERVER_ISP`	`SSL_SERVER_I_DN_SP`	renommï¿½e
`SSL_SERVER_IL`	`SSL_SERVER_I_DN_L`	renommï¿½e
`SSL_CLIENT_CERTIFICATE`	`SSL_CLIENT_CERT`	renommï¿½e
`SSL_CLIENT_CERT_START`	`SSL_CLIENT_V_START`	renommï¿½e
`SSL_CLIENT_CERT_END`	`SSL_CLIENT_V_END`	renommï¿½e
`SSL_CLIENT_CERT_SERIAL`	`SSL_CLIENT_M_SERIAL`	renommï¿½e
`SSL_CLIENT_SIGNATURE_ALGORITHM`	`SSL_CLIENT_A_SIG`	renommï¿½e
`SSL_CLIENT_DN`	`SSL_CLIENT_S_DN`	renommï¿½e
`SSL_CLIENT_CN`	`SSL_CLIENT_S_DN_CN`	renommï¿½e
`SSL_CLIENT_EMAIL`	`SSL_CLIENT_S_DN_Email`	renommï¿½e
`SSL_CLIENT_O`	`SSL_CLIENT_S_DN_O`	renommï¿½e
`SSL_CLIENT_OU`	`SSL_CLIENT_S_DN_OU`	renommï¿½e
`SSL_CLIENT_C`	`SSL_CLIENT_S_DN_C`	renommï¿½e
`SSL_CLIENT_SP`	`SSL_CLIENT_S_DN_SP`	renommï¿½e
`SSL_CLIENT_L`	`SSL_CLIENT_S_DN_L`	renommï¿½e
`SSL_CLIENT_IDN`	`SSL_CLIENT_I_DN`	renommï¿½e
`SSL_CLIENT_ICN`	`SSL_CLIENT_I_DN_CN`	renommï¿½e
`SSL_CLIENT_IEMAIL`	`SSL_CLIENT_I_DN_Email`	renommï¿½e
`SSL_CLIENT_IO`	`SSL_CLIENT_I_DN_O`	renommï¿½e
`SSL_CLIENT_IOU`	`SSL_CLIENT_I_DN_OU`	renommï¿½e
`SSL_CLIENT_IC`	`SSL_CLIENT_I_DN_C`	renommï¿½e
`SSL_CLIENT_ISP`	`SSL_CLIENT_I_DN_SP`	renommï¿½e
`SSL_CLIENT_IL`	`SSL_CLIENT_I_DN_L`	renommï¿½e
`SSL_EXPORT`	`SSL_CIPHER_EXPORT`	renommï¿½e
`SSL_KEYSIZE`	`SSL_CIPHER_ALGKEYSIZE`	renommï¿½e
`SSL_SECKEYSIZE`	`SSL_CIPHER_USEKEYSIZE`	renommï¿½e
`SSL_SSLEAY_VERSION`	`SSL_VERSION_LIBRARY`	renommï¿½e
`SSL_STRONG_CRYPTO`	`-`	Non supportï¿½e par mod_ssl
`SSL_SERVER_KEY_EXP`	`-`	Non supportï¿½e par mod_ssl
`SSL_SERVER_KEY_ALGORITHM`	`-`	Non supportï¿½e par mod_ssl
`SSL_SERVER_KEY_SIZE`	`-`	Non supportï¿½e par mod_ssl
`SSL_SERVER_SESSIONDIR`	`-`	Non supportï¿½e par mod_ssl
`SSL_SERVER_CERTIFICATELOGDIR`	`-`	Non supportï¿½e par mod_ssl
`SSL_SERVER_CERTFILE`	`-`	Non supportï¿½e par mod_ssl
`SSL_SERVER_KEYFILE`	`-`	Non supportï¿½e par mod_ssl
`SSL_SERVER_KEYFILETYPE`	`-`	Non supportï¿½e par mod_ssl
`SSL_CLIENT_KEY_EXP`	`-`	Non supportï¿½e par mod_ssl
`SSL_CLIENT_KEY_ALGORITHM`	`-`	Non supportï¿½e par mod_ssl
`SSL_CLIENT_KEY_SIZE`	`-`	Non supportï¿½e par mod_ssl

Fonctions de personnalisation des journaux

Quand mod_ssl est activï¿½, le Format de journal courant (Custom Log Format) du module mod_log_config possï¿½de des fonctions supplï¿½mentaires comme indiquï¿½ dans le chapitre de rï¿½fï¿½rence. En plus de la fonction de format ï¿½tendu ``%{varname}x'' que l'on peut utiliser pour extraire le contenu d'une variable fournie par n'importe quel module, la fonction de format cryptographique ``%{name}c'' a ï¿½tï¿½ ajoutï¿½e ï¿½ des fins de compatibilitï¿½ ascendante. Les appels de fonctions actuellement implï¿½mentï¿½s sont ï¿½numï¿½rï¿½s dans le Tableau 3.

Table 3: Fonctions cryptographiques du format de journal courant

Appel de fonction	Description
`%...{version}c`	Version du protocole SSL
`%...{cipher}c`	Chiffrement SSL
`%...{subjectdn}c`	Nom distinctif du sujet du certificat du client
`%...{issuerdn}c`	Nom distinctif de l'ï¿½metteur du certificat du client
`%...{errcode}c`	Erreur lors de la vï¿½rification du certificat (numï¿½rique)
`%...{errstr}c`	Erreur lors de la vï¿½rification du certificat (chaï¿½ne de caractï¿½res)