summaryrefslogtreecommitdiffstats
diff options
context:
space:
mode:
-rw-r--r--docs/manual/mod/mod_proxy_http2.xml.fr122
-rw-r--r--docs/manual/mod/mod_proxy_http2.xml.meta1
-rw-r--r--docs/manual/mod/mod_proxy_wstunnel.xml.fr126
-rw-r--r--docs/manual/mod/mod_proxy_wstunnel.xml.meta1
-rw-r--r--docs/manual/mod/mod_ssl_ct.xml.fr621
-rw-r--r--docs/manual/mod/mod_ssl_ct.xml.meta1
-rw-r--r--docs/manual/mod/mod_syslog.xml.fr59
-rw-r--r--docs/manual/mod/mod_syslog.xml.meta1
-rw-r--r--docs/manual/mod/mod_systemd.xml.fr79
-rw-r--r--docs/manual/mod/mod_systemd.xml.meta1
-rw-r--r--docs/manual/mod/mod_version.xml.fr148
-rw-r--r--docs/manual/mod/mod_version.xml.meta1
12 files changed, 1161 insertions, 0 deletions
diff --git a/docs/manual/mod/mod_proxy_http2.xml.fr b/docs/manual/mod/mod_proxy_http2.xml.fr
new file mode 100644
index 0000000000..1520e8e51a
--- /dev/null
+++ b/docs/manual/mod/mod_proxy_http2.xml.fr
@@ -0,0 +1,122 @@
+<?xml version="1.0" encoding="UTF-8"?>
+<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
+<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
+<!-- English Revision : 1783722 -->
+<!-- French translation : Lucien GENTIS -->
+<!-- $LastChangedRevision: 2017022501 $ -->
+
+<!--
+ Licensed to the Apache Software Foundation (ASF) under one or more
+ contributor license agreements. See the NOTICE file distributed with
+ this work for additional information regarding copyright ownership.
+ The ASF licenses this file to You under the Apache License, Version 2.0
+ (the "License"); you may not use this file except in compliance with
+ the License. You may obtain a copy of the License at
+
+ http://www.apache.org/licenses/LICENSE-2.0
+
+ Unless required by applicable law or agreed to in writing, software
+ distributed under the License is distributed on an "AS IS" BASIS,
+ WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
+ See the License for the specific language governing permissions and
+ limitations under the License.
+-->
+
+<modulesynopsis metafile="mod_proxy_http2.xml.meta">
+
+<name>mod_proxy_http2</name>
+<description>Support de HTTP/2 pour <module>mod_proxy</module></description>
+<status>Extension</status>
+<sourcefile>mod_proxy_http2.c</sourcefile>
+<identifier>proxy_http2_module</identifier>
+
+<summary>
+ <p><module>mod_proxy_http2</module> ne
+ supporte que HTTP/2 et ne permet pas de r&eacute;trogradation vers HTTP/1.1. Cela
+ signifie que le serveur d'arri&egrave;re-plan doit supporter HTTP/2 car HTTP/1.1 ne
+ pourra alors pas &ecirc;tre utilis&eacute;.</p>
+
+ <p>Ce module <em>n&eacute;cessite</em> la pr&eacute;sence de <module>mod_proxy</module> ;
+ pour pouvoir traiter les requ&ecirc;tes mandat&eacute;es HTTP/2,
+ <module>mod_proxy</module> et <module>mod_proxy_http2</module> doivent donc
+ &ecirc;tre charg&eacute;s par le serveur.</p>
+
+ <p><module>mod_proxy_http2</module> travaille avec des requ&ecirc;tes entrantes en
+ HTTP/1.1 ou HTTP/2. Dans les deux cas, les requ&ecirc;tes vers le m&ecirc;me serveur
+ d'arri&egrave;re-plan sont envoy&eacute;es
+ via une seule connexion TCP, dans la mesure du possible (autrement dit
+ lorsque la connexion peut &ecirc;tre r&eacute;utilis&eacute;e).</p>
+
+ <p>Avertissement : il ne sera effectu&eacute; aucune tentative de fusion de
+ plusieurs requ&ecirc;tes entrantes HTTP/1 (devant &ecirc;tre mandat&eacute;es vers le m&ecirc;me
+ serveur d'arri&egrave;re-plan) vers des flux HTTP/2 appartenant &agrave; la m&ecirc;me requ&ecirc;te
+ HTTP/2. Chaque requ&ecirc;te HTTP/1 entrante sera mandat&eacute;e vers le serveur
+ d'arri&egrave;re-plan en utilisant une requ&ecirc;te HTTP/2 s&eacute;par&eacute;e (tout en r&eacute;utilisant
+ si possible la m&ecirc;me connexion TCP).</p>
+
+ <p>Ce module s'appuie sur <a href="http://nghttp2.org/">libnghttp2</a> pour
+ fournir le moteur central http/2.</p>
+
+ <note type="warning"><title>Avertissement</title> <p>Ce module en est au
+ stade exp&eacute;rimental. Ses comportement, directives et valeurs par d&eacute;fauts sont
+ donc susceptibles de modifications d'une version &agrave; l'autre plus fr&eacute;quentes
+ que pour les autres modules. A ce titre, il est fortement conseill&eacute; aux
+ utilisateurs de consulter le fichier "CHANGES" pour prendre connaissance de
+ ces modifications.</p> </note>
+
+ <note type="warning"><title>Avertissement</title>
+ <p>N'activez pas le mandatement avant d'avoir <a
+ href="mod_proxy.html#access">s&eacute;curis&eacute; votre serveur</a>. Les serveurs
+ mandataires ouverts sont dangereux non seulement pour votre propre r&eacute;seau,
+ mais aussi pour l'Internet au sens large.</p>
+ </note>
+</summary>
+<seealso><module>mod_http2</module></seealso>
+<seealso><module>mod_proxy</module></seealso>
+<seealso><module>mod_proxy_connect</module></seealso>
+
+ <section id="examples"><title>Exemples de base</title>
+
+ <p>Les exemples ci-dessous montrent comment configurer HTTP/2 pour des
+ connexions d'arri&egrave;re-plan vers un mandataire inverse.</p>
+
+ <example><title>HTTP/2 (TLS)</title>
+ <highlight language="config">
+ProxyPass "/app" "h2://app.example.com"
+ProxyPassReverse "/app" "https://app.example.com"
+ </highlight>
+ </example>
+
+ <example><title>HTTP/2 (non s&eacute;curis&eacute;)</title>
+ <highlight language="config">
+ProxyPass "/app" "h2c://app.example.com"
+ProxyPassReverse "/app" "http://app.example.com"
+ </highlight>
+ </example>
+
+ <note>
+ <p>Pour mandater en inverse les protocoles <code>h2</code> ou
+ <code>h2c</code>, on utilise la directive
+ <directive>ProxyPassReverse</directive> avec les sch&egrave;mes habituels
+ <code>https</code> et respectivement
+ <code>http</code> qui sont connus et utilis&eacute;s par l'agent utilisateur.</p>
+ </note>
+ </section> <!-- /examples -->
+
+<section id="notes"><title>Informations sur les requ&ecirc;tes</title>
+ <p><module>mod_proxy_http</module> fournit les informations sur les requ&ecirc;tes
+ suivantes pour enregistrement dans les journaux en utilisant le format
+ <code>%{VARNAME}n</code> avec les directives <directive
+ module="mod_log_config">LogFormat</directive> ou <directive
+ module="core">ErrorLogFormat</directive> :
+ </p>
+ <dl>
+ <dt>proxy-source-port</dt>
+ <dd>Le num&eacute;ro de port local utilis&eacute; pour la connexion vers le serveur
+ d'arri&egrave;re-plan.</dd>
+ <dt>proxy-status</dt>
+ <dd>Le statut HTTP/2 en provenance du serveur d'arri&egrave;re-plan.</dd>
+ </dl>
+</section>
+
+</modulesynopsis>
diff --git a/docs/manual/mod/mod_proxy_http2.xml.meta b/docs/manual/mod/mod_proxy_http2.xml.meta
index 2ccd79bba6..071a546512 100644
--- a/docs/manual/mod/mod_proxy_http2.xml.meta
+++ b/docs/manual/mod/mod_proxy_http2.xml.meta
@@ -8,5 +8,6 @@
<variants>
<variant>en</variant>
+ <variant>fr</variant>
</variants>
</metafile>
diff --git a/docs/manual/mod/mod_proxy_wstunnel.xml.fr b/docs/manual/mod/mod_proxy_wstunnel.xml.fr
new file mode 100644
index 0000000000..d7f0ea81e8
--- /dev/null
+++ b/docs/manual/mod/mod_proxy_wstunnel.xml.fr
@@ -0,0 +1,126 @@
+<?xml version="1.0" encoding="utf-8"?>
+<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
+<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
+<!-- English Revision : 1801594 -->
+<!-- French translation : Lucien GENTIS -->
+<!-- $LastChangedRevision: 2017071501 $ -->
+
+<!--
+ Licensed to the Apache Software Foundation (ASF) under one or more
+ contributor license agreements. See the NOTICE file distributed with
+ this work for additional information regarding copyright ownership.
+ The ASF licenses this file to You under the Apache License, Version 2.0
+ (the "License"); you may not use this file except in compliance with
+ the License. You may obtain a copy of the License at
+
+ http://www.apache.org/licenses/LICENSE-2.0
+
+ Unless required by applicable law or agreed to in writing, software
+ distributed under the License is distributed on an "AS IS" BASIS,
+ WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
+ See the License for the specific language governing permissions and
+ limitations under the License.
+-->
+
+<modulesynopsis metafile="mod_proxy_wstunnel.xml.meta">
+
+<name>mod_proxy_wstunnel</name>
+<description>Module pour <module>mod_proxy</module> supportant les
+websockets</description>
+<status>Extension</status>
+<sourcefile>mod_proxy_wstunnel.c</sourcefile>
+<identifier>proxy_wstunnel_module</identifier>
+<compatibility>Disponible &agrave; partir de la version 2.4.5 du serveur HTTP
+Apache</compatibility>
+
+<summary>
+ <p>Pour utiliser ce module, <module>mod_proxy</module> doit &ecirc;tre
+ charg&eacute;. Il fournit le support du tunnelling pour les connexions
+ websocket vers un serveur websockets d'arri&egrave;re-plan. La connexion
+ est automatiquement promue en connexion websocket :</p>
+
+ <example><title>R&eacute;ponse HTTP</title>
+ <highlight language="config">
+Upgrade: WebSocket
+Connection: Upgrade
+ </highlight>
+ </example>
+
+<p>Le mandatement des requ&ecirc;tes vers un serveur websockets comme
+<code>echo.websocket.org</code> peut &ecirc;tre configur&eacute; via la directive <directive
+type="ProxyPass" module="mod_proxy">ProxyPass</directive> :</p>
+ <highlight language="config">
+ProxyPass "/ws2/" "ws://echo.websocket.org/"
+ProxyPass "/wss2/" "wss://echo.websocket.org/"
+ </highlight>
+
+<p>La r&eacute;partition de charge entre plusieurs serveurs d'arri&egrave;re-plan peut &ecirc;tre
+configur&eacute;e via le module <module>mod_proxy_balancer</module>.</p>
+
+<p>En fait, ce module permet d'accepter d'autres protocoles ; vous pouvez &agrave; cet
+effet utiliser le param&egrave;tre <code>upgrade</code> de la directive <directive
+type="ProxyPass" module="mod_proxy">ProxyPass</directive>. La valeur NONE
+signifie que vous court-circuitez la consultation de l'en-t&ecirc;te, mais que vous
+autorisez quand-m&ecirc;me WebSocket. La valeur ANY signifie que <code>Upgrade</code>
+va lire les en-t&ecirc;tes de la requ&ecirc;te et les utilisera dans l'en-t&ecirc;te
+<code>Upgrade</code> de la r&eacute;ponse.</p>
+</summary>
+
+<seealso><module>mod_proxy</module></seealso>
+
+<directivesynopsis>
+<name>ProxyWebsocketAsync</name>
+<description>Cr&eacute;ation d'un tunnel asynchrone</description>
+<syntax>ProxyWebsocketAsync ON|OFF</syntax>
+<contextlist><context>server config</context>
+<context>virtual host</context>
+</contextlist>
+
+<usage>
+ <p>Cette directive permet d'imposer la cr&eacute;ation d'un tunnel
+ asynchrone. Si le module MPM utilis&eacute; ne supporte pas les
+ fonctionnalit&eacute;s n&eacute;cessaires, le tunnel est cr&eacute;&eacute; en mode synchrone.</p>
+ <note><title>Note</title><p>Le support du mode asynchrone est
+ au stade exp&eacute;rimental et est susceptible d'&eacute;voluer.</p></note>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>ProxyWebsocketIdleTimeout</name>
+<description>Temps d'attente maximum pour des donn&eacute;es sur le tunnel websockets</description>
+<syntax>ProxyWebsocketIdleTimeout <var>num</var>[ms]</syntax>
+<default>ProxyWebsocketIdleTimeout 0</default>
+<contextlist><context>server config</context>
+<context>virtual host</context>
+</contextlist>
+
+<usage>
+ <p>Cette directive permet de d&eacute;finir un temps maximum pendant lequel
+ le tunnel pourra rester ouvert et inactif. Par d&eacute;faut, ce temps est exprim&eacute;
+ en secondes, mais vous pouvez le sp&eacute;cifier en millisecondes en utilisant le
+ suffixe <em>ms</em>.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>ProxyWebsocketAsyncDelay</name>
+<description>Temps d'attente synchrone maximum pour des donn&eacute;es</description>
+<syntax>ProxyWebsocketAsyncDelay <var>num</var>[ms]</syntax>
+<default>ProxyWebsocketAsyncDelay 0</default>
+<contextlist><context>server config</context>
+<context>virtual host</context>
+</contextlist>
+
+<usage>
+ <p>Si la directive <directive>ProxyWebsocketAsync</directive> est
+ activ&eacute;e, cette directive permet de d&eacute;finir le temps maximum pendant lequel
+ le serveur attendra des donn&eacute;es en mode synchrone. Par d&eacute;faut, ce temps est exprim&eacute;
+ en secondes, mais vous pouvez le sp&eacute;cifier en millisecondes en utilisant le
+ suffixe <em>ms</em>.</p>
+
+ <note><title>Note</title><p>Le support du mode asynchrone est
+ au stade exp&eacute;rimental et est susceptible d'&eacute;voluer.</p></note>
+</usage>
+</directivesynopsis>
+
+</modulesynopsis>
diff --git a/docs/manual/mod/mod_proxy_wstunnel.xml.meta b/docs/manual/mod/mod_proxy_wstunnel.xml.meta
index d12fab9bcb..6c0a516e2a 100644
--- a/docs/manual/mod/mod_proxy_wstunnel.xml.meta
+++ b/docs/manual/mod/mod_proxy_wstunnel.xml.meta
@@ -8,5 +8,6 @@
<variants>
<variant>en</variant>
+ <variant>fr</variant>
</variants>
</metafile>
diff --git a/docs/manual/mod/mod_ssl_ct.xml.fr b/docs/manual/mod/mod_ssl_ct.xml.fr
new file mode 100644
index 0000000000..1a9901f165
--- /dev/null
+++ b/docs/manual/mod/mod_ssl_ct.xml.fr
@@ -0,0 +1,621 @@
+<?xml version="1.0"?>
+<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
+<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
+<!-- English Revision : 1690137 -->
+<!-- French translation : Lucien GENTIS -->
+<!-- $LastChangedRevision: 2015071101 $ -->
+
+<!--
+ Licensed to the Apache Software Foundation (ASF) under one or more
+ contributor license agreements. See the NOTICE file distributed with
+ this work for additional information regarding copyright ownership.
+ The ASF licenses this file to You under the Apache License, Version 2.0
+ (the "License"); you may not use this file except in compliance with
+ the License. You may obtain a copy of the License at
+
+ http://www.apache.org/licenses/LICENSE-2.0
+
+ Unless required by applicable law or agreed to in writing, software
+ distributed under the License is distributed on an "AS IS" BASIS,
+ WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
+ See the License for the specific language governing permissions and
+ limitations under the License.
+-->
+
+<modulesynopsis metafile="mod_ssl_ct.xml.meta">
+
+<name>mod_ssl_ct</name>
+<description>Impl&eacute;mentation de la transparence des certificats
+(Certificat Transparency - RFC 6962)
+</description>
+<status>Extension</status>
+<sourcefile>mod_ssl_ct.c</sourcefile>
+<identifier>ssl_ct_module</identifier>
+
+<summary>
+
+<p>Ce module impl&eacute;mente la transparence des certificats en conjonction
+avec <module>mod_ssl</module> et les outils en ligne de commande du
+projet open source <a
+href="https://code.google.com/p/certificate-transparency/">certificate-transparency</a>.
+Le but de la transparence des certificats consiste &agrave; r&eacute;v&eacute;ler
+l'utilisation de certificats de confiance d&eacute;livr&eacute;s par
+erreur ou dans un but malintentionn&eacute;. Vous trouverez plus de d&eacute;tails &agrave;
+propos de la transparence des certificats ici : <a
+href="http://www.certificate-transparency.org/">http://www.certificate-transparency.org/</a>.
+Voici la signification des termes utilis&eacute;s dans cette documentation :</p>
+
+<dl>
+ <dt>Certificate log</dt>
+ <dd>Un Certificate log, auquel on fera r&eacute;f&eacute;rence avec le simple
+ terme <q>log</q> tout au long de ce document, est un service r&eacute;seau
+ auquel les certificats de serveurs sont soumis. Un agent
+ utilisateur peut v&eacute;rifier que le certificat d'un serveur auquel il
+ acc&egrave;de a bien &eacute;t&eacute; soumis &agrave; un log auquel il fait confiance, et que le log
+ lui-m&ecirc;me n'a pas rencontr&eacute; de probl&egrave;me avec ce certificat.</dd>
+
+ <dt>Horodatage sign&eacute; du certificat (Signed Certificate Timestamp - SCT)</dt>
+ <dd>Il s'agit d'une information en provenance d'un log indiquant qu'il
+ a valid&eacute; un certificat. Cet horodatage est sign&eacute; avec la cl&eacute; publique
+ du log. Un ou plusieurs SCTs sont pass&eacute;s au client durant la phase de
+ n&eacute;gociation de la connexion, soit dans le ServerHello (extension TLS),
+ soit dans l'extension du certificat, soit dans une r&eacute;ponse OCSP
+ jointe.</dd>
+</dl>
+
+<p>Cette impl&eacute;mentation pour Apache httpd fournit les fonctionnalit&eacute;s
+suivantes pout les serveurs et mandataires TLS :</p>
+
+<ul>
+ <li>Les SCTs peuvent &ecirc;tre extraits automatiquement des logs, et en
+ conjonction avec tout SCT d&eacute;fini statiquement, envoy&eacute;s aux clients
+ qui les supportent durant la phase ServerHello de la n&eacute;gociation de la
+ connexion.</li>
+ <li>Le serveur mandataire peut recevoir les SCTs en provenance du
+ serveur original au cours de la phase ServerHello sous la forme d'une
+ extension de certificat, et/ou au sein des r&eacute;ponses OCSP agraf&eacute;es ;
+ tout SCT re&ccedil;u peut &ecirc;tre valid&eacute; partiellement en ligne, et
+ &eacute;ventuellement mis en file d'attente pour un examen plus approfondi
+ hors ligne.</li>
+ <li>Le serveur mandataire peut &ecirc;tre configur&eacute; de fa&ccedil;on &agrave; refuser la
+ communication avec un serveur original qui ne fournit pas de SCT
+ pouvant &acirc;tre valid&eacute; en ligne.</li>
+</ul>
+
+<p>La configuration des logs peut &ecirc;tre d&eacute;finie statiquement au niveau de
+la configuration du serveur web, ou enregistr&eacute;e dans une base de donn&eacute;es
+SQLite3. Dans ce dernier cas, <module>mod_ssl_ct</module> rechargera &agrave;
+intervalles r&eacute;guliers la base de donn&eacute;es, de fa&ccedil;on &agrave; ce que tout
+changement dans la configuration de la maintenance et de la propagation
+des logs pour un site sp&eacute;cifique ne n&eacute;cessite pas de red&eacute;marrer httpd.</p>
+
+<note>Ce module en est au stade exp&eacute;rimental pour les raisons suivantes
+:
+<ul>
+ <li>Tests et retours d'information insuffisants</li>
+ <li>Repose sur une version non stable (version 1.0.2, Beta 3 ou
+ sup&eacute;rieure) d'OpenSSL pour les
+ op&eacute;rations de base</li>
+ <li>Impl&eacute;mentation de la <a href="#audit">fonctionnalit&eacute; d'audit hors
+ ligne</a> incompl&egrave;te</li>
+</ul>
+
+<p>Les m&eacute;canismes de configuration, le format des donn&eacute;es enregistr&eacute;es
+pour l'audit hors ligne, ainsi que d'autres caract&eacute;ristiques sont
+appel&eacute;s &agrave; &eacute;voluer en fonction des tests et retours d'informations &agrave;
+venir.</p>
+</note>
+</summary>
+
+<section id="server">
+ <title>Vue d'ensemble du fonctionnement au niveau du serveur</title>
+
+ <p>Les serveurs doivent pouvoir envoyer les SCTs aux clients. Les SCTs
+ seront envoy&eacute;s sous la forme d'une extension de certificat ou au sein
+ d'une r&eacute;ponse OCSP agraf&eacute;e sans logique pr&eacute;programm&eacute;e. Ce module g&egrave;re
+ l'envoi des SCTs configur&eacute;s par l'administrateur ou en provenance des
+ logs d&eacute;finis.</p>
+
+ <p>Le nombre de SCTs envoy&eacute;s au cours de la phase ServerHello (c'est &agrave;
+ dire les SCTs autres que ceux inclus dans une extension de certificat
+ ou une r&eacute;ponse OCSP agraf&eacute;e) peut &ecirc;tre limit&eacute; via la directive
+ <directive module="mod_ssl_ct">CTServerHelloSCTLimit</directive>.</p>
+
+ <p>Pour chaque certificat de serveur, un processus maintient une liste
+ de SCTs &agrave; envoyer au cours de la phase ServerHello ; cette liste est
+ cr&eacute;&eacute;e &agrave; partir des SCTs configur&eacute;s statiquement, mais aussi &agrave; partir
+ de ceux re&ccedil;us depuis les logs. Les logs marqu&eacute;s comme suspects ou
+ arriv&eacute;s &agrave; p&eacute;remption seront ignor&eacute;s. A intervalles r&eacute;guliers, le
+ processus va soumettre les certificats &agrave; un log selon les besoins
+ (suite &agrave; un changement de configuration du log ou de sa dur&eacute;e de vie),
+ et reconstruire la concat&eacute;nation des SCTs.</p>
+
+ <p>La liste des SCTs pour un certificat de serveur sera envoy&eacute;e au
+ cours de la phase ClientHello, lorsque ce certificat de serveur
+ particulier est utilis&eacute;, &agrave; tout client qui fait savoir qu'il supporte
+ cette fonctionnalit&eacute;.</p>
+
+</section>
+
+<section id="proxy">
+ <title>Vue d'ensemble du fonctionnement au niveau du serveur
+ mandataire</title>
+
+ <p>Le serveur mandataire indique qu'il supporte la Transparence des
+ Certificats au cours de la phase ClientHello en incluant l'extension
+ <em>signed_certificate_timestamp</em>. Il peut reconna&icirc;tre les SCTs
+ re&ccedil;us au cours de la phase ServerHello dans une extension du
+ certificat du serveur original, ou au sein d'une r&eacute;ponse OCSP agraf&eacute;e.</p>
+
+ <p>Une v&eacute;rification en ligne est effectu&eacute;e pour tout SCT re&ccedil;u :</p>
+
+ <ul>
+ <li>Le rep&egrave;re de temps de chaque SCT peut &ecirc;tre v&eacute;rifi&eacute; pour voir
+ s'il n'est pas encore valide en le comparant avec l'heure actuelle
+ ou tout intervalle de temps valide d&eacute;fini pour le log.</li>
+ <li>Dans le cas d'un SCT issu d'un log pour lequel une cl&eacute; publique
+ a &eacute;t&eacute; d&eacute;finie, la signature du serveur sera v&eacute;rifi&eacute;e.</li>
+ </ul>
+
+ <p>Si la v&eacute;rification &eacute;choue ou renvoie un r&eacute;sultat n&eacute;gatif pour au
+ moins un SCT et si la directive <directive
+ module="mod_ssl_ct">CTProxyAwareness</directive> est d&eacute;finie &agrave;
+ <em>require</em>, la tentative de connexion est abandonn&eacute;e.</p>
+
+ <p>En outre, si la directive <directive
+ module="mod_ssl_ct">CTAuditStorage</directive> est d&eacute;finie, la cha&icirc;ne
+ de certification du serveur et les SCTs sont stock&eacute;s pour une
+ v&eacute;rification hors ligne.</p>
+
+ <p>A titre d'optimisation, la v&eacute;rification en ligne et le stockage des
+ donn&eacute;es en provenance du serveur ne sont effectu&eacute;s que la premi&egrave;re
+ fois o&ugrave; un processus enfant du serveur web re&ccedil;oit ces donn&eacute;es, ce qui
+ permet d'&eacute;conomiser du temps processeur et de l'espace disque. Dans le
+ cas d'une configuration typique de mandataire inverse, seule une
+ l&eacute;g&egrave;re augmentation de la charge processeur sera induite.</p>
+
+</section>
+
+<section id="logconf">
+ <title>Configuration du log</title>
+
+ <p>Les serveurs et les mandataires utilisent des informations
+ diff&eacute;rentes en ce qui concerne les logs et leurs traitements. Cette
+ <em>configuration des logs</em> peut &ecirc;tre effectu&eacute;e de deux mani&egrave;res :</p>
+
+ <ul>
+ <li>On peut cr&eacute;er une base de donn&eacute;es pour configurer le log en
+ utilisant la commande <program>ctlogconfig</program> et en
+ d&eacute;finissant le chemin vers cette base de donn&eacute;es via la directive
+ <directive module="mod_ssl_ct">CTLogConfig</directive>.
+ <module>mod_ssl_ct</module> relit la base de donn&eacute;es &agrave;
+ intervalles r&eacute;guliers ; cette m&eacute;thode de configuration supporte donc
+ les mises &agrave; jour dynamiques. En outre, la commande d'audit hors
+ ligne <code>ctauditscts</code> peut utiliser cette configuration pour
+ trouver l'URL des logs.</li>
+
+ <li>On peut aussi configurer les logs statiquement via la directive
+ <directive module="mod_ssl_ct">CTStaticLogConfig</directive>. Toute
+ modification de cette directive n&eacute;cessitera alors un red&eacute;marrage du serveur
+ pour &ecirc;tre prise en compte, comme pour toutes les autres directives.</li>
+ </ul>
+
+ <p>Les &eacute;l&eacute;ments de configuration pouvant &ecirc;tre d&eacute;finis par l'une ou
+ l'autre m&eacute;thode sont les suivants :</p>
+
+ <dl>
+ <dt>Identifiant du log</dt>
+ <dd>L'identifiant du log est le hash SHA-256 de sa cl&eacute; publique, et
+ est inclus dans tout SCT. Ceci permet d'identifier ais&eacute;ment un log
+ particulier lorsqu'on d&eacute;finit des plages de rep&egrave;res de temps
+ valides ou certaines autres informations.</dd>
+
+ <dt>Cl&eacute; publique du log</dt>
+ <dd>Un mandataire doit disposer de la cl&eacute; publique du log afin de
+ pouvoir v&eacute;rifier la signature dans les SCTs en provenance de ce log.
+ <br />
+ Un serveur doit poss&eacute;der la cl&eacute; publique du log afin de pouvoir lui
+ soumettre des certificats.</dd>
+
+ <dt>Configuration g&eacute;n&eacute;rale confiance/m&eacute;fiance</dt>
+ <dd>Il s'agit d'un m&eacute;canisme permettant d'instaurer une m&eacute;fiance ou
+ de restaurer une confiance envers un log donn&eacute; pour certaines
+ raisons particuli&egrave;res (y compris la simple interruption des
+ interactions avec le log dans les situations o&ugrave; il est hors ligne).</dd>
+
+ <dt>Rep&egrave;res de temps minima et/ou maxima valides</dt>
+ <dd>Lorsqu'ils sont d&eacute;finis, le mandataire pourra v&eacute;rifier que les
+ rep&egrave;res de temps contenus dans les SCTs sont compris dans une plage
+ valide</dd>
+
+ <dt>URL du log</dt>
+ <dd>Pour qu'un serveur puisse soumettre des certificats de serveur &agrave;
+ un log, il doit conna&icirc;tre l'URL de ce dernier (pour son API). Le
+ serveur soumettra chaque certificat de serveur afin d'obtenir un
+ SCT pour chaque log dont l'URL est d&eacute;finie, sauf pour les logs aussi
+ marqu&eacute;s comme non dignes de confiance ou si l'heure actuelle ne se
+ situe dans aucune des plages de temps valides d&eacute;finies.
+ <br />
+ L'audit hors ligne des SCTs re&ccedil;us par un mandataire n&eacute;cessite aussi
+ de conna&icirc;tre l'URL du log.</dd>
+ </dl>
+
+ <p>En g&eacute;n&eacute;ral, seuls quelque uns de ces &eacute;l&eacute;ments de configuration sont
+ d&eacute;finis pour un log donn&eacute;. Pour plus de d&eacute;tails, veuillez vous r&eacute;f&eacute;rer
+ &agrave; la documentation de la directive <directive
+ module="mod_ssl_ct">CTStaticLogConfig</directive> et de la commande
+ <program>ctlogconfig</program>.</p>
+
+</section>
+
+<section id="static">
+ <title>Stockage des SCTs sous une forme compr&eacute;hensible pour mod_ssl_ct</title>
+
+ <p>Le module <module>mod_ssl_ct</module> permet de configurer les SCTs
+ de mani&egrave;re statique via la directive
+ <directive>CTStaticSCTs</directive>. Ils doivent alors &ecirc;tre sous une forme
+ binaire pr&ecirc;te &agrave; &ecirc;tre envoy&eacute;e au client.</p>
+
+ <p>Vous trouverez dans le <a
+ href="https://github.com/tomrittervg/ct-tools">D&eacute;p&ocirc;t ct-tools de Tom
+ Ritter</a> un exemple de code sous la forme d'un script Python
+ (<code>write-sct.py</code>) permettant de g&eacute;n&eacute;rer un SCT sous un
+ format correct avec des donn&eacute;es en provenance d'un log.</p>
+</section>
+
+<section id="logging">
+ <title>Journalisation des rep&egrave;res de temps des certificats (CT) dans
+ le journal des acc&egrave;s</title>
+
+ <p>Dans les deux modes mandataire et serveur, les variables
+ <code>SSL_CT_PROXY_STATUS</code> et
+ <code>SSL_CT_CLIENT_STATUS</code> sont d&eacute;finies et indiquent si le
+ serveur supporte les CTs.</p>
+
+ <p>Dans le mode mandataire, la variable
+ <code>SSL_CT_PROXY_SCT_SOURCES</code> est d&eacute;finie pour indiquer si des
+ SCTs ont &eacute;t&eacute; re&ccedil;us ainsi que leur source (phase ServerHello de la
+ connexion, extension de certificat, etc...).</p>
+
+ <p>Les valeurs de ces variables peuvent &ecirc;tre journalis&eacute;es via la
+ cha&icirc;ne de format <code>%{<em>varname</em>}e</code> de
+ <module>mod_log_config</module>.</p>
+</section>
+
+<section id="audit">
+ <title>Audit hors ligne pour mandataire</title>
+
+ <p>Le support de cette fonctionnalit&eacute; en est au stade exp&eacute;rimental, et
+ est impl&eacute;ment&eacute; par la commande <code>ctauditscts</code>, qui repose
+ elle-m&ecirc;me sur l'utilitaire <code>verify_single_proof.py</code> du
+ projet open source <em>certificate-transparency</em>. La commande
+ <code>ctauditscts</code> peut parcourir des donn&eacute;es, et ainsi effectuer
+ un audit hors ligne (activ&eacute; via la directive <directive
+ module="mod_ssl_ct">CTAuditStorage</directive>) en invoquant
+ l'utilitaire <code>verify_single_proof.py</code>.</p>
+
+ <p>Voici quelques indication &agrave; l'&eacute;tat brut pour l'utilisation de
+ <code>ctauditscts</code> :</p>
+
+ <ul>
+ <li>Cr&eacute;ez un <em>virtualenv</em> en utilisant le fichier
+ <code>requirements.txt</code> du projet
+ <em>certificate-transparency</em>, et ex&eacute;cuter les &eacute;tapes suivantes
+ avec ce <em>virtualenv</em> activ&eacute;.</li>
+ <li>D&eacute;finissez <code>PYTHONPATH</code> de fa&ccedil;on &agrave; inclure le
+ r&eacute;pertoire <code>python</code> dans les chemins par d&eacute;faut des
+ utilitaires du projet <em>certificate-transparency</em>.</li>
+ <li>D&eacute;finissez <code>PATH</code> de fa&ccedil;on &agrave; inclure le chemin du
+ r&eacute;pertoire <code>python/ct/client/tools</code>.</li>
+ <li>Ex&eacute;cutez la commande <code>ctauditscts</code> avec comme
+ arguments la valeur de la directive
+ <directive>CTAuditStorage</directive>, et &eacute;ventuellement le chemin
+ de la base de donn&eacute;es de configuration des logs. Cette derni&egrave;re sera
+ utilis&eacute;e pour extraire les URLs des logs en fonction de leurs
+ identifiants.</li>
+ </ul>
+
+ <p>Les donn&eacute;es stock&eacute;es &agrave; des fins d'audit peuvent aussi &ecirc;tre
+ utilis&eacute;es par d'autres programmes ; veuillez vous r&eacute;f&eacute;rer au code
+ source de <code>ctauditscts</code> pour plus de d&eacute;tails &agrave; propos du
+ traitement des donn&eacute;es.</p>
+</section>
+
+<directivesynopsis>
+<name>CTAuditStorage</name>
+<description>R&eacute;pertoire de stockage des donn&eacute;es pour l'audit hors ligne</description>
+<syntax>CTAuditStorage <em>directory</em></syntax>
+<default>none</default>
+<contextlist><context>server config</context></contextlist>
+
+<usage>
+ <p>La directive <directive>CTAuditStorage</directive> permet de
+ d&eacute;finir le chemin du r&eacute;pertoire o&ugrave; les donn&eacute;es destin&eacute;es &agrave; un audit hors
+ ligne seront stock&eacute;es. Ce r&eacute;pertoire doit exister au pr&eacute;alable. Si le
+ chemin contenu dans l'argument <em>directory</em> n'est pas absolu, il
+ sera consid&eacute;r&eacute; comme relatif au chemin d&eacute;fini par la directive
+ <directive module="core">DefaultRuntimeDir</directive>.</p>
+
+ <p>Si cette directive n'est pas d&eacute;finie, aucune donn&eacute;e ne sera stock&eacute;e
+ en vue d'un audit hors ligne.</p>
+
+ <p>Le r&eacute;pertoire consid&eacute;r&eacute; contiendra des fichiers nomm&eacute;s
+ <code><em>PID</em>.tmp</code> pour les processus enfants actifs et
+ <code><em>PID</em>.out</code> pour les processus enfants termin&eacute;s. Les
+ donn&eacute;es disponibles pour un audit hors ligne sont donc contenues dans les
+ fichiers <code>.out</code>. La commande exp&eacute;rimentale
+ <code>ctauditscts</code> (situ&eacute;e dans l'arborescence des sources de
+ httpd, mais non encore prise en compte par le processus
+ d'installation), fait appel aux utilitaires du projet
+ <em>certificate-transparency</em> pour effectuer l'audit.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>CTLogClient</name>
+<description>Chemin de l'utilitaire client du log certificate-transparency</description>
+<syntax>CTLogClient <em>executable</em></syntax>
+<default>none</default>
+<contextlist><context>server config</context>
+</contextlist>
+
+<usage>
+ <p><em>executable</em> est le chemin complet de l'utilitaire client du
+ log qui est normalement le fichier <code>cpp/client/ct</code> (ou
+ <code>ct.exe</code>) de l'arborescence des sources du projet open
+ source <a
+ href="https://code.google.com/p/certificate-transparency/">certificate-transparency</a>.</p>
+
+ <p>Il est possible d'utiliser une impl&eacute;mentation alternative pour
+ extraire les SCTs d'un certificat de serveur &agrave; partir du moment o&ugrave;
+ l'interface de la ligne de commande est &eacute;quivalente.</p>
+
+ <p>Si cette directive n'est pas d&eacute;finie, il n'est pas possible de
+ soumettre les certificats aux logs pour en extraire les SCTs ; seuls
+ les SCTs g&eacute;r&eacute;s par l'administrateur ou situ&eacute;s dans une extension de
+ certificat seront alors fournis aux clients.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>CTLogConfigDB</name>
+<description>Base de donn&eacute;es pour la configuration des logs avec mises &agrave;
+jour dynamiques</description>
+<syntax>CTLogConfigDB <em>filename</em></syntax>
+<default>none</default>
+<contextlist><context>server config</context></contextlist>
+
+<usage>
+ <p>La directive <directive>CTLogConfigDB</directive> permet de d&eacute;finir
+ le nom de la base de donn&eacute;es contenant la configuration des logs
+ connus. Si le chemin contenu dans <em>filename</em> n'est pas absolu,
+ il est consid&eacute;r&eacute; comme relatif au chemin d&eacute;fini par la directive
+ <directive module="core">ServerRoot</directive>.</p>
+
+ <p>Veuillez vous r&eacute;f&eacute;rer &agrave; la documentation du programme
+ <program>ctlogconfig</program> qui g&egrave;re la base de donn&eacute;es.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>CTMaxSCTAge</name>
+<description>Age maximum d'un SCT obtenu depuis un log avant son
+raffra&icirc;chissement</description>
+<syntax>CTMaxSCTAge <em>num-seconds</em></syntax>
+<default>1 jour</default>
+<contextlist><context>server config</context></contextlist>
+
+<usage>
+ <p>Les certificats de serveur dont les SCTs sont sup&eacute;rieurs &agrave; cet &acirc;ge
+ maximum seront soumis &agrave; nouveau aux logs d&eacute;finis. En g&eacute;n&eacute;ral, le log
+ va renvoyer le m&ecirc;me SCT que pr&eacute;c&eacute;demment, mais ceux-ci font alors l'objet
+ d'une op&eacute;ration de la part du log. Les SCTs seront raffra&icirc;chis autant que
+ n&eacute;cessaire au cours du fonctionnement normal du serveur, les nouveaux
+ SCTs &eacute;tant envoy&eacute;s aux clients au fur et &agrave; mesure de leur
+ disponibilit&eacute;.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>CTProxyAwareness</name>
+<description>Niveau de prise en compte et de mise en oeuvre des CTs pour un
+mandataire
+</description>
+<syntax>CTProxyAwareness <em>oblivious|aware|require</em></syntax>
+<default>aware</default>
+<contextlist><context>server config</context>
+<context>virtual host</context></contextlist>
+
+<usage>
+ <p>Cette directive permet de contr&ocirc;ler la prise en compte et les
+ recherches de SCTs valides pour un mandataire. Les options disponibles
+ sont les suivantes :</p>
+
+ <dl>
+ <dt>oblivious</dt>
+ <dd>Le mandataire de demandera jamais de SCTs, et par cons&eacute;quent
+ n'en examinera pas. Le processus de transparance des certificats est
+ alors enti&egrave;rement d&eacute;sactiv&eacute; pour ce mandataire.</dd>
+
+ <dt>aware</dt>
+ <dd>Le mandataire prendra en charge l'ensemble du processus de
+ transparence des certificats, &agrave; savoir la recherche de SCTs et leur
+ examen. Le mandataire n'interrompra cependant pas la connexion si le
+ serveur original ne fournit pas de SCTs valides.</dd>
+
+ <dt>require</dt>
+ <dd>Le mandataire interrompra la connexion avec le serveur original
+ si ce dernir ne fournit pas au moins un SCT qui passe avec succ&egrave;s le
+ test de validation en ligne.</dd>
+ </dl>
+
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>CTSCTStorage</name>
+<description>R&eacute;pertoire o&ugrave; les SCTs sont stock&eacute;s</description>
+<syntax>CTSCTStorage <em>directory</em></syntax>
+<default>none</default>
+<contextlist><context>server config</context>
+</contextlist>
+
+<usage>
+ <p>La directive <directive>CTSCTStorage</directive> permet de d&eacute;finir
+ le nom du r&eacute;pertoire o&ugrave; les SCTs et listes de SCTs seront stock&eacute;s. Si
+ le chemin contenu dans <em>directory</em> n'est pas absolu, il sera
+ consid&eacute;r&eacute; comme relatif au chemin d&eacute;fini par la directive <directive
+ module="core">DefaultRuntimeDir</directive>.</p>
+
+ <p>Chaque certificat voit ses informations stock&eacute;es dans un sous-r&eacute;pertoire
+ qui lui est propre ; le nom de ce sous-r&eacute;pertoire correspond au hash
+ SHA-256 du certificat consid&eacute;r&eacute;.</p>
+
+ <p>Les sous-r&eacute;pertoires propres &agrave; chaque certificat contiennent des
+ SCTs en provenance des logs d&eacute;finis, des listes de SCTs pr&eacute;par&eacute;es &agrave;
+ partir des SCTs configur&eacute;s statiquement et des SCTs extraits, ainsi
+ que diverses informations utilis&eacute;es pour g&eacute;rer les SCTs.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>CTServerHelloSCTLimit</name>
+<description>Nombre maximum de SCTs pouvant &ecirc;tre renvoy&eacute;s au cours de la
+phase ServerHello</description>
+<syntax>CTServerHelloSCTLimit <em>limit</em></syntax>
+<default>100</default>
+<contextlist><context>server config</context>
+</contextlist>
+
+<usage>
+ <p>Cette directive permet de d&eacute;finir le nombre maximum de SCTs pouvant
+ &ecirc;tre renvoy&eacute;s par un serveur TLS au cours de la phase ServerHello dans
+ le cas o&ugrave; le nombre de logs d&eacute;finis et de SCTs d&eacute;finis statiquement
+ est assez important.</p>
+
+ <p>En g&eacute;n&eacute;ral, seuls quelques SCTs sont disponibles, cette directive
+ n'est donc n&eacute;cessaire que dans certaines circonstances particuli&egrave;res.</p>
+
+ <p>Cette directive ne tient pas compte des SCTs contenus dans les
+ extensions de certificats ou les r&eacute;ponses OCSP agraf&eacute;es.</p>
+</usage>
+</directivesynopsis>
+
+<directivesynopsis>
+<name>CTStaticLogConfig</name>
+<description>Configuration statique d'un log</description>
+<syntax>CTStaticLogConfig <em>log-id|-</em> <em>public-key-file|-</em>
+<em>1|0|-</em> <em>min-timestamp|-</em> <em>max-timestamp|-</em>
+<em>log-URL|-</em></syntax>
+<default>none</default>
+<contextlist><context>server config</context>
+</contextlist>
+
+<usage>
+ <p>Cette directive permet de configurer un log particulier. Elle est
+ particuli&egrave;rement appropri&eacute;e dans les cas o&ugrave; cette configuration est
+ rarement modifi&eacute;e. Si votre cas n&eacute;cessite plut&ocirc;t une configuration
+ dynamique, veuillez vous r&eacute;f&eacute;rer &agrave; la documentation de la directive
+ <directive module="mod_ssl_ct">CTLogConfigDB</directive>.</p>
+
+ <p>Chacun des six champs doit &ecirc;tre renseign&eacute;, mais en g&eacute;n&eacute;ral, la
+ configuration d'un log n&eacute;cessite peu d'information ; utilisez
+ <em>-</em> lorsque vous ne disposez d'aucune information &agrave; sp&eacute;cifier
+ pour un champ particulier. Par exemple, dans le cas d'une
+ configuration de serveur simple (non mandataire), l'administrateur n'a
+ besoin de sp&eacute;cifier que l'URL du log auquel soumettre des certificats de
+ serveur afin d'en extraire les SCTs.</p>
+
+ <p>Les champs se d&eacute;finissent comme suit :</p>
+
+ <dl>
+ <dt><em>log-id</em></dt>
+ <dd>Il s'agit de l'identifiant du log qui correspond au hash SHA-256
+ de la cl&eacute; publique du log, cod&eacute; en hexad&eacute;cimal. Cette cha&icirc;ne a une
+ taille de 64 caract&egrave;res.
+ <br />
+ Ce champ peut &ecirc;tre omis lorsque <em>public-key-file</em> est
+ renseign&eacute;.</dd>
+
+ <dt><em>public-key-file</em></dt>
+ <dd>Il s'agit du chemin d'un fichier contenant la cl&eacute; publique du log
+ cod&eacute;e au format PEM. Si ce chemin n'est pas absolu, il est consid&eacute;r&eacute;
+ comme relatif au chemin d&eacute;fini par la directive <directive
+ module="core">ServerRoot</directive>.</dd>
+
+ <dt><em>trust/distrust</em></dt>
+ <dd>D&eacute;finissez ce champ &agrave; <em>1</em> pour marquer le log comme non
+ digne de confiance, ou pour tout simplement interdire son
+ utilisation pour le traitement des certificats. D&eacute;finissez ce champ
+ &agrave; <em>-</em> ou <em>0</em> (valeur par d&eacute;faut) pour accorder votre
+ confiance au log.</dd>
+
+ <dt><em>min-timestamp</em> et <em>max-timestamp</em></dt>
+ <dd>Un rep&egrave;re de temps (timestamp) est un temps exprim&eacute; en
+ millisecondes depuis le temps epoch, sans tenir compte des secondes
+ saut&eacute;es. C'est le format de temps utilis&eacute; dans les SCTs. Le rep&egrave;re
+ de temps doit &ecirc;tre fourni sous la forme d'un nombre d&eacute;cimal.
+ <br />
+ Sp&eacute;cifiez <strong><code>-</code></strong> pour un des rep&egrave;res de
+ temps s'il n'est pas connu. Par exemple, lorsque vous d&eacute;finissez le
+ rep&egrave;re de temps minimum valide pour un log qui reste valide,
+ sp&eacute;cifiez <strong><code>-</code></strong> pour
+ <em>max-timestamp</em>.
+ <br />
+ Les SCTs re&ccedil;u par le mandataire depuis ce log seront invalides si le
+ rep&egrave;re de temps est plus ancien que <em>min-timestamp</em> ou plus
+ r&eacute;cent que <em>max-timestamp</em>.</dd>
+
+ <dt><em>log-URL</em></dt>
+ <dd>Il s'agit de l'URL du log auquel soumettre les certificats de
+ serveur et ainsi obtenir des SCTs &agrave; envoyer aux clients.</dd>
+ </dl>
+</usage>
+
+<seealso>Le paragraphe <a href="#logconf">Configuration des logs</a>
+contient des informations &agrave; caract&egrave;re plus g&eacute;n&eacute;ral &agrave; propos des champs qui
+peuvent &ecirc;tre d&eacute;finis via cette directive.</seealso>
+
+</directivesynopsis>
+
+<directivesynopsis>
+<name>CTStaticSCTs</name>
+<description>Configuration statique d'un ou plusieurs SCTs pour un
+certificat de serveur
+</description>
+<syntax>CTStaticSCTs <em>certificate-pem-file</em> <em>sct-directory</em></syntax>
+<default>none</default>
+<contextlist><context>server config</context>
+</contextlist>
+
+<usage>
+ <p>Cette directive permet de d&eacute;finir statiquement un ou plusieurs SCTs
+ correspondant &agrave; un certificat de serveur. Ce m&eacute;canisme peut &ecirc;tre
+ utilis&eacute; &agrave; la place ou en compl&eacute;ment de l'obtention dynamique des SCTs
+ en provenance des logs. Toute modification dans le jeu de SCTs d'un
+ certificat de serveur particulier sera prise en compte de mani&egrave;re
+ dynamique sans avoir &agrave; red&eacute;marrer le serveur.</p>
+
+ <p><em>certificate-pem-file</em> fait r&eacute;f&eacute;rence au fichier contenant
+ le certificat de serveur au format PEM. Si ce chemin n'est pas absolu,
+ il sera consid&eacute;r&eacute; comme relatif au chemin d&eacute;fini par la directive
+ <directive module="core">ServerRoot</directive>.</p>
+
+ <p><em>sct-directory</em> doit contenir le chemin vers un ou plusieurs
+ fichiers poss&eacute;dant l'extension de nom de fichier <code>.sct</code>,
+ repr&eacute;sentant un ou plusieurs SCTs correspondant au certificat de
+ serveur. Si ce chemin n'est pas absolu,
+ il sera consid&eacute;r&eacute; comme relatif au chemin d&eacute;fini par la directive
+ <directive module="core">ServerRoot</directive>.</p>
+
+ <p>Si <em>sct-directory</em> est vide, aucun message d'erreur ne sera
+ affich&eacute;.</p>
+
+ <p>Cette directive peut servir &agrave; identifier des r&eacute;pertoires de SCTs
+ g&eacute;r&eacute;s par une autre infrastructure, sous r&eacute;serve qu'ils soient
+ enregistr&eacute;s au format binaire avec l'extension de nom de fichier
+ <em>.sct</em>.</p>
+</usage>
+</directivesynopsis>
+
+</modulesynopsis>
diff --git a/docs/manual/mod/mod_ssl_ct.xml.meta b/docs/manual/mod/mod_ssl_ct.xml.meta
index c33bcb9fde..8fc8c4826d 100644
--- a/docs/manual/mod/mod_ssl_ct.xml.meta
+++ b/docs/manual/mod/mod_ssl_ct.xml.meta
@@ -8,5 +8,6 @@
<variants>
<variant>en</variant>
+ <variant>fr</variant>
</variants>
</metafile>
diff --git a/docs/manual/mod/mod_syslog.xml.fr b/docs/manual/mod/mod_syslog.xml.fr
new file mode 100644
index 0000000000..9926ee9cd8
--- /dev/null
+++ b/docs/manual/mod/mod_syslog.xml.fr
@@ -0,0 +1,59 @@
+<?xml version="1.0"?>
+<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
+<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
+<!-- English Revision : 1673945 -->
+<!-- French translation : Lucien GENTIS -->
+<!-- $LastChangedRevision: 2015050201 $ -->
+
+<!--
+ Licensed to the Apache Software Foundation (ASF) under one or more
+ contributor license agreements. See the NOTICE file distributed with
+ this work for additional information regarding copyright ownership.
+ The ASF licenses this file to You under the Apache License, Version 2.0
+ (the "License"); you may not use this file except in compliance with
+ the License. You may obtain a copy of the License at
+
+ http://www.apache.org/licenses/LICENSE-2.0
+
+ Unless required by applicable law or agreed to in writing, software
+ distributed under the License is distributed on an "AS IS" BASIS,
+ WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
+ See the License for the specific language governing permissions and
+ limitations under the License.
+-->
+
+<modulesynopsis metafile="mod_syslog.xml.meta">
+
+<name>mod_syslog</name>
+<description>Support du fournisseur de journalisation "syslog"</description>
+<status>Extension</status>
+<sourcefile>mod_syslog.c</sourcefile>
+<identifier>syslog_module</identifier>
+
+<summary>
+
+ <p>Ce module impl&eacute;mente le fournisseur de journalisation "syslog".
+ Il permet de journaliser les messages d'erreur via syslogd(8).</p>
+</summary>
+
+<section id="examples">
+ <title>Exemples</title>
+
+ <p>Si le syst&egrave;me le supporte, l'utilisation du param&egrave;tre
+ <code>syslog</code> avec la directive ErrorLog (voir la
+ documentation du module <module>core</module>) &agrave; la place d'un nom
+ de fichier permet de journaliser les messages d'erreur via
+ syslogd(8). Par d&eacute;faut, c'est le port syslog <code>local7</code> qui
+ est utilis&eacute;, mais vous pouvez le modifier via la syntaxe
+ <code>syslog:<var>port</var></code> o&ugrave; <var>port</var> pourra
+ correspondre &agrave; un des noms habituellement d&eacute;finis dans la
+ documentation de syslog(1). La d&eacute;finition de ce port est r&eacute;ellement
+ globale, et m&ecirc;me si elle est modifi&eacute;e au niveau d'un serveur
+ virtuel, elle affecte l'ensemble du serveur.</p>
+
+ <highlight language="config">ErrorLog syslog:user</highlight>
+
+</section>
+
+
+</modulesynopsis>
diff --git a/docs/manual/mod/mod_syslog.xml.meta b/docs/manual/mod/mod_syslog.xml.meta
index cb174b302f..bf9b2c11e9 100644
--- a/docs/manual/mod/mod_syslog.xml.meta
+++ b/docs/manual/mod/mod_syslog.xml.meta
@@ -8,5 +8,6 @@
<variants>
<variant>en</variant>
+ <variant>fr</variant>
</variants>
</metafile>
diff --git a/docs/manual/mod/mod_systemd.xml.fr b/docs/manual/mod/mod_systemd.xml.fr
new file mode 100644
index 0000000000..2766954785
--- /dev/null
+++ b/docs/manual/mod/mod_systemd.xml.fr
@@ -0,0 +1,79 @@
+<?xml version="1.0"?>
+<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
+<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
+<!-- English Revision : 1620075 -->
+<!-- French translation : Lucien GENTIS -->
+<!-- $LastChangedRevision: 2015011801 $ -->
+
+<!--
+ Licensed to the Apache Software Foundation (ASF) under one or more
+ contributor license agreements. See the NOTICE file distributed with
+ this work for additional information regarding copyright ownership.
+ The ASF licenses this file to You under the Apache License, Version 2.0
+ (the "License"); you may not use this file except in compliance with
+ the License. You may obtain a copy of the License at
+
+ http://www.apache.org/licenses/LICENSE-2.0
+
+ Unless required by applicable law or agreed to in writing, software
+ distributed under the License is distributed on an "AS IS" BASIS,
+ WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
+ See the License for the specific language governing permissions and
+ limitations under the License.
+-->
+
+<modulesynopsis metafile="mod_systemd.xml.meta">
+
+<name>mod_systemd</name>
+<description>Fournit un support am&eacute;lior&eacute; pour l'int&eacute;gration de systemd</description>
+<status>Extension</status>
+<sourcefile>mod_systemd.c</sourcefile>
+<identifier>systemd_module</identifier>
+
+<summary>
+ <p>Ce module impl&eacute;mente le support de l'int&eacute;gration de systemd. Il
+ permet de d&eacute;marrer httpd en temps que service avec le param&egrave;tre de
+ systemd <code>Type=notify</code> (voir la page de manuel
+ systemd.service(5) pour plus de d&eacute;tails). Il ajoute aussi des
+ statistiques &agrave; la sortie de la commande <code>systemctl
+ status</code>, et fournit diverses directives pour l'int&eacute;gration de
+ systemd.
+ </p>
+</summary>
+
+<directivesynopsis>
+<name>IdleShutdown</name>
+<description>Permet d'arr&ecirc;ter httpd lorsque qu'il est inactif pendant un
+certain temps.</description>
+<syntax>IdleShutdown seconds</syntax>
+<default>IdleShutdown 0</default>
+<contextlist><context>server config</context></contextlist>
+
+<usage>
+ <p>La directive <directive>IdleShutdown</directive> permet d'arr&ecirc;ter
+ httpd lorsque qu'il est inactif pendant un certain temps. Ce statut
+ d'inactivit&eacute; se base sur le nombre d'octets envoy&eacute;s ; par cons&eacute;quent, si
+ aucun octet n'est envoy&eacute; pendant le temps sp&eacute;cifi&eacute; par cette
+ directive, httpd sera arr&ecirc;t&eacute;. Par d&eacute;faut, IdleShutdown est d&eacute;finie &agrave;
+ 0, ce qui signifie que cette fonctionnalit&eacute; est d&eacute;sactiv&eacute;e.
+ </p>
+
+ <p>Cette fonctionnalit&eacute; prend tout son sens en combinaison avec
+ l'activation du socket systemd (voir la page de manuel
+ systemd.socket(5)). En effet, lorsque httpd est d&eacute;marr&eacute; par systemd
+ suite &agrave; l'arriv&eacute;e d'une ou plusieurs requ&ecirc;tes HTTP, cette directive
+ vous permet d'arr&ecirc;ter httpd automatiquement lorsque toutes les
+ requ&ecirc;tes ont &eacute;t&eacute; trait&eacute;es.
+ </p>
+
+ <note type="warning"><title>Particularit&eacute; de cette impl&eacute;mentation</title><p>
+ De par la conception de cette impl&eacute;mentation, l'inactivit&eacute; de httpd
+ n'est v&eacute;rifi&eacute;e que toutes les 10 secondes, ce qui signifie que si
+ vous sp&eacute;cifiez <code>IdleShutdown 14</code>, httpd ne s'arr&ecirc;tera
+ qu'apr&egrave;s 20 secondes d'inactivit&eacute;.
+ </p></note>
+</usage>
+</directivesynopsis>
+
+
+</modulesynopsis>
diff --git a/docs/manual/mod/mod_systemd.xml.meta b/docs/manual/mod/mod_systemd.xml.meta
index 736c72dc7a..edb0b7cbc9 100644
--- a/docs/manual/mod/mod_systemd.xml.meta
+++ b/docs/manual/mod/mod_systemd.xml.meta
@@ -8,5 +8,6 @@
<variants>
<variant>en</variant>
+ <variant>fr</variant>
</variants>
</metafile>
diff --git a/docs/manual/mod/mod_version.xml.fr b/docs/manual/mod/mod_version.xml.fr
new file mode 100644
index 0000000000..c7c503f76b
--- /dev/null
+++ b/docs/manual/mod/mod_version.xml.fr
@@ -0,0 +1,148 @@
+<?xml version="1.0"?>
+<!DOCTYPE modulesynopsis SYSTEM "../style/modulesynopsis.dtd">
+<?xml-stylesheet type="text/xsl" href="../style/manual.fr.xsl"?>
+<!-- English Revision : 1421821 -->
+<!-- French translation : Lucien GENTIS -->
+<!-- $LastChangedRevision: 2012121601 $ -->
+
+<!--
+ Licensed to the Apache Software Foundation (ASF) under one or more
+ contributor license agreements. See the NOTICE file distributed with
+ this work for additional information regarding copyright ownership.
+ The ASF licenses this file to You under the Apache License, Version 2.0
+ (the "License"); you may not use this file except in compliance with
+ the License. You may obtain a copy of the License at
+
+ http://www.apache.org/licenses/LICENSE-2.0
+
+ Unless required by applicable law or agreed to in writing, software
+ distributed under the License is distributed on an "AS IS" BASIS,
+ WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
+ See the License for the specific language governing permissions and
+ limitations under the License.
+-->
+
+<modulesynopsis metafile="mod_version.xml.meta">
+<name>mod_version</name>
+<description>Configuration d&eacute;pendant de la version</description>
+<status>Extension</status>
+<sourcefile>mod_version.c</sourcefile>
+<identifier>version_module</identifier>
+
+<summary>
+ <p>Ce module a &eacute;t&eacute; con&ccedil;u pour &ecirc;tre utilis&eacute; dans les suites de tests
+ et les grands r&eacute;seaux qui doivent prendre en compte diff&eacute;rentes
+ versions de httpd et diff&eacute;rentes configurations. Il fournit un
+ nouveau conteneur -- <directive type="section"
+ module="mod_version">IfVersion</directive>, qui apporte une grande
+ souplesse dans la v&eacute;rification de version en permettant une
+ comparaison num&eacute;rique et l'utilisation d'expressions
+ rationnelles.</p>
+
+ <example><title>Exemples</title>
+ <highlight language="config">
+&lt;IfVersion 2.4.2&gt;
+ # la version actuelle de httpd est exactement 2.4.2
+&lt;/IfVersion&gt;
+
+&lt;IfVersion >= 2.5&gt;
+ # utilise vraiment les nouvelles fonctionnalit&eacute;s :-)
+&lt;/IfVersion&gt;
+ </highlight>
+ </example>
+
+ <p>Voir ci-dessous pour d'autres exemples.</p>
+</summary>
+
+<directivesynopsis type="section">
+<name>IfVersion</name>
+<description>Contient des portions de configuration d&eacute;pendantes de la
+version</description>
+<syntax>&lt;IfVersion [[!]<var>op&eacute;rateur</var>] <var>version</var>&gt; ...
+&lt;/IfVersion&gt;</syntax>
+<contextlist><context>server config</context><context>virtual host
+</context>
+<context>directory</context><context>.htaccess</context></contextlist>
+<override>All</override>
+
+<usage>
+ <p>La section <directive type="section">IfVersion</directive>
+ rassemble des directives de configuration qui ne sont ex&eacute;cut&eacute;es que
+ si la version de httpd satisfait aux crit&egrave;res sp&eacute;cifi&eacute;s. Pour une
+ comparaison normale (num&eacute;rique), l'argument <var>version</var> doit
+ &ecirc;tre sp&eacute;cifi&eacute; sous le format
+ <code><var>majeur</var>[.<var>mineur</var>[.<var>patch</var>]]</code>,
+ comme par exemple <code>2.1.0</code> ou <code>2.2</code>.
+ <var>mineur</var> et <var>patch</var> sont optionnels. Si ces
+ num&eacute;ros sont absents, il se voient affect&eacute;e implicitement la valeur
+ 0. Les <var>op&eacute;rateur</var>s num&eacute;riques suivants sont autoris&eacute;s
+ :</p>
+
+ <table style="zebra" border="1">
+ <tr><th><var>op&eacute;rateur</var></th><th>description</th></tr>
+ <tr><td><code>=</code> ou <code>==</code></td>
+ <td>La version de httpd est &eacute;gale &agrave; la valeur
+ sp&eacute;cifi&eacute;e</td></tr>
+ <tr><td><code>&gt;</code></td>
+ <td>La version de httpd est sup&eacute;rieure &agrave; la valeur
+ sp&eacute;cifi&eacute;e</td></tr>
+ <tr><td><code>&gt;=</code></td>
+ <td>La version de httpd est sup&eacute;rieure ou &eacute;gale &agrave; la valeur
+ sp&eacute;cifi&eacute;e</td></tr>
+ <tr><td><code>&lt;</code></td>
+ <td>La version de httpd est inf&eacute;rieure &agrave; la valeur
+ sp&eacute;cifi&eacute;e</td></tr>
+ <tr><td><code>&lt;=</code></td>
+ <td>La version de httpd est inf&eacute;rieure ou &eacute;gale &agrave; la valeur
+ sp&eacute;cifi&eacute;e</td></tr>
+ </table>
+
+ <example><title>Exemple</title>
+ <highlight language="config">
+&lt;IfVersion >= 2.3&gt;
+ # la condition n'est satisfaite que pour les versions de httpd
+ # sup&eacute;rieures ou &eacute;gales &agrave; 2.3
+&lt;/IfVersion&gt;
+ </highlight>
+ </example>
+
+ <p>En plus d'une comparaison num&eacute;rique, il est possible de comparer
+ la version de httpd avec une <glossary ref="regex">expression
+ rationnelle</glossary>. Il existe deux m&eacute;thodes pour sp&eacute;cifier cette
+ derni&egrave;re :</p>
+
+ <table style="zebra" border="1">
+ <tr><th><var>op&eacute;rateur</var></th><th>description</th></tr>
+ <tr><td><code>=</code> ou <code>==</code></td>
+ <td><var>version</var> est de la forme
+ <code>/<var>regex</var>/</code></td></tr>
+ <tr><td><code>~</code></td>
+ <td><var>version</var> est de la forme
+ <code><var>regex</var></code></td></tr>
+ </table>
+
+ <example><title>Exemple</title>
+ <highlight language="config">
+&lt;IfVersion = /^2.4.[01234]$/&gt;
+ # exemple de contournement pour les versions bogu&eacute;es
+&lt;/IfVersion&gt;
+ </highlight>
+ </example>
+
+ <p>Pour inverser la condition, tous les op&eacute;rateurs peuvent &ecirc;tre
+ pr&eacute;fix&eacute;s par un point d'exclamation (<code>!</code>) :</p>
+
+ <example>
+ <highlight language="config">
+&lt;IfVersion !~ ^2.4.[01234]$&gt;
+ # pas pour ces versions
+&lt;/IfVersion&gt;
+ </highlight>
+ </example>
+
+ <p>Si <var>op&eacute;rateur</var> est absent, sa valeur implicite est
+ <code>=</code>.</p>
+</usage>
+</directivesynopsis>
+
+</modulesynopsis>
diff --git a/docs/manual/mod/mod_version.xml.meta b/docs/manual/mod/mod_version.xml.meta
index 4fbd74a3a1..5dcdb84f2e 100644
--- a/docs/manual/mod/mod_version.xml.meta
+++ b/docs/manual/mod/mod_version.xml.meta
@@ -8,6 +8,7 @@
<variants>
<variant>en</variant>
+ <variant>fr</variant>
<variant>ja</variant>
<variant outdated="yes">ko</variant>
</variants>