Serveur HTTP Apache Version 2.4
Description: | Chiffrement de haut niveau basé sur les protocoles Secure Sockets Layer (SSL) et Transport Layer Security (TLS) |
---|---|
Statut: | Extension |
Identificateur de Module: | ssl_module |
Fichier Source: | mod_ssl.c |
Ce module fournit le support SSL v3 et TLS v1 au serveur HTTP Apache. SSL v2 n'est plus supporté.
Ce module s'appuie sur OpenSSL pour fournir le moteur de chiffrement.
D'autres détails, discussions et exemples sont fournis dans la documentation SSL.
Ce module peut être configuré pour fournir aux espaces de nommage SSI
et CGI de nombreux éléments d'informations concernant SSL par le biais
de variables d'environnement supplémentaires. Par défaut, sauf pour
HTTPS
et SSL_TLS_SNI
qui sont toujours définies, ces
informations ne sont pas fournies pour des raisons de performances (Voir
la directive SSLOptions
StdEnvVars
ci-dessous).
Les variables générées se trouvent dans la table ci-dessous.
Ces informations peuvent également être disponible sous des noms différents
à des fins de compatibilité ascendante. Reportez-vous au chapitre Compatibilité pour plus de détails à
propos des variables de compatibilité.
Nom de la variable | Type de valeur | Description |
---|---|---|
HTTPS | drapeau | HTTPS est utilisé. |
SSL_PROTOCOL | chaîne | La version du protocole SSL (SSLv3, TLSv1, TLSv1.1, TLSv1.2) |
SSL_SESSION_ID | chaîne | L'identifiant de session SSL codé en hexadécimal |
SSL_SESSION_RESUMED | chaîne | Session SSL initiale ou reprise. Note : plusieurs requêtes peuvent être servies dans le cadre de la même session SSL (initiale ou reprise) si les connexions persistantes (HTTP KeepAlive) sont utilisées |
SSL_SECURE_RENEG | chaîne | true si la renégociation sécurisée est supportée,
false dans le cas contraire |
SSL_CIPHER | chaîne | Le nom de l'algorithme de chiffrement |
SSL_CIPHER_EXPORT | chaîne | true si l'algorithme de chiffrement est un algorithme
exporté |
SSL_CIPHER_USEKEYSIZE | nombre | Nombre de bits de chiffrement (réellement utilisés) |
SSL_CIPHER_ALGKEYSIZE | nombre | Nombre de bits de chiffrement (possible) |
SSL_COMPRESS_METHOD | chaîne | Méthode de compression SSL négociée |
SSL_VERSION_INTERFACE | chaîne | La version du programme mod_ssl |
SSL_VERSION_LIBRARY | chaîne | La version du programme OpenSSL |
SSL_CLIENT_M_VERSION | chaîne | La version du certificat client |
SSL_CLIENT_M_SERIAL | chaîne | Le numéro de série du certificat client |
SSL_CLIENT_S_DN | chaîne | Le DN sujet du certificat client |
SSL_CLIENT_S_DN_ x509 | chaîne | Elément du DN sujet du client |
SSL_CLIENT_SAN_Email_ n | chaîne | Les entrées d'extension subjectAltName du certificat client de type rfc822Name |
SSL_CLIENT_SAN_DNS_ n | chaîne | Les entrées d'extension subjectAltName du certificat client de type dNSName |
SSL_CLIENT_SAN_OTHER_msUPN_ n |
chaîne | Extensions subjectAltName de type otherName du certificat client, forme Microsoft du nom principal de l'utilisateur (OID 1.3.6.1.4.1.311.20.2.3) |
SSL_CLIENT_I_DN | chaîne | DN de l'émetteur du certificat du client |
SSL_CLIENT_I_DN_ x509 | chaîne | Elément du DN de l'émetteur du certificat du client |
SSL_CLIENT_V_START | chaîne | Validité du certificat du client (date de début) |
SSL_CLIENT_V_END | chaîne | Validité du certificat du client (date de fin) |
SSL_CLIENT_V_REMAIN | chaîne | Nombre de jours avant expiration du certificat du client |
SSL_CLIENT_A_SIG | chaîne | Algorithme utilisé pour la signature du certificat du client |
SSL_CLIENT_A_KEY | chaîne | Algorithme utilisé pour la clé publique du certificat du client |
SSL_CLIENT_CERT | chaîne | Certificat du client au format PEM |
SSL_CLIENT_CERT_CHAIN_ n |
chaîne | Certificats de la chaîne de certification du client au format PEM |
SSL_CLIENT_CERT_RFC4523_CEA | chaîne | Numéro de série et fournisseur du certificat. le format correspond à celui de la CertificateExactAssertion dans la RFC4523 |
SSL_CLIENT_VERIFY | chaîne | NONE , SUCCESS , GENEROUS ou
FAILED: raison |
SSL_SERVER_M_VERSION | chaîne | La version du certificat du serveur |
SSL_SERVER_M_SERIAL | chaîne | The serial of the server certificate |
SSL_SERVER_S_DN | chaîne | DN sujet du certificat du serveur |
SSL_SERVER_S_DN_ x509 | chaîne | Elément du DN sujet du certificat du serveur |
SSL_SERVER_SAN_Email_ n |
chaîne | Les entrées d'extension subjectAltName du certificat de serveur de type rfc822Name |
SSL_SERVER_SAN_DNS_ n | chaîne | Les entrées d'extension subjectAltName du certificat de serveur de type dNSName |
SSL_SERVER_SAN_OTHER_dnsSRV_ n |
chaîne | Extensions subjectAltName de type otherName du certificat serveur, sous la forme SRVName (OID 1.3.6.1.5.5.7.8.7, RFC 4985) |
SSL_SERVER_I_DN | chaîne | DN de l'émetteur du certificat du serveur |
SSL_SERVER_I_DN_ x509 | chaîne | Elément du DN de l'émetteur du certificat du serveur |
SSL_SERVER_V_START | chaîne | Validité du certificat du serveur (date de dédut) |
SSL_SERVER_V_END | chaîne | Validité du certificat du serveur (date de fin) |
SSL_SERVER_A_SIG | chaîne | Algorithme utilisé pour la signature du certificat du serveur |
SSL_SERVER_A_KEY | chaîne | Algorithme utilisé pour la clé publique du certificat du serveur |
SSL_SERVER_CERT | chaîne | Certificat du serveur au format PEM |
SSL_SRP_USER | chaîne | nom d'utilisateur SRP |
SSL_SRP_USERINFO | chaîne | informations sur l'utilisateur SRP |
SSL_TLS_SNI | string | Contenu de l'extension SNI TLS (si supporté par ClientHello) |
x509 spécifie un élément de DN X.509 parmi
C,ST,L,O,OU,CN,T,I,G,S,D,UID,Email
. A partir de la version
2.2.0 d'Apache, x509 peut aussi comporter un suffixe numérique
_n
. Si le DN en question comporte plusieurs attributs de
noms identiques, ce suffixe constitue un index débutant à zéro et
permettant de sélectionner un
attribut particulier. Par exemple, si le DN sujet du certificat du
serveur comporte deux champs OU, on peut utiliser
SSL_SERVER_S_DN_OU_0
et SSL_SERVER_S_DN_OU_1
pour référencer chacun d'entre eux. Un nom de variable sans suffixe
_n
est équivalent au même nom avec le suffixe
_0
, ce qui correspond au premier attribut (ou au seul)
caractérisant le DN.
Lorsque la table d'environnement est remplie en utilisant l'option
StdEnvVars
de la directive SSLOptions
, le premier attribut (ou le
seul) caractérisant le DN est enregistré avec un nom sans suffixe ;
autrement dit, aucune entrée possédant comme suffixe _0
n'est enregistrée.
A partir de la version 2.4.32 de httpd, on peut ajouter le suffixe _RAW à x509 dans un composant DN afin d'empêcher la conversion de la valeur de l'attribut en UTF-8. Il doit être placé après le suffixe index (s'il existe). On utilisera par