NOM¶
SSL_CTX_set_cipher_list, SSL_set_cipher_list - Choisir la liste des SSL_CIPHER
disponibles
SYNOPSIS¶
#include <openssl/ssl.h>
int SSL_CTX_set_cipher_list(SSL_CTX *ctx, const char
*str );
int SSL_set_cipher_list(SSL *ssl, const char
*str);
DESCRIPTION¶
SSL_CTX_set_cipher_list() définit la liste des algorithmes de
chiffrement disponibles pour
ctx en utilisant la chaîne de
contrôle
str. Le format de la chaîne est décrit
dans
ciphers(1). La liste d'algorithmes de chiffrement est
héritée par tous les objets
ssl créés
à partir de
ctx.
SSL_set_cipher_list() ne définit la liste des algorithmes de
chiffrement que pour
ssl.
NOTES¶
La chaîne de contrôle
str devrait être
universellement utilisable sans dépendre de détails de la
configuration de bibliothèques (algorithmes de chiffrement
compilés à l'intérieur). Ainsi, aucune
vérification de syntaxe n'est effectuée. Les
éléments qui ne sont pas reconnus, parce que les algorithmes de
chiffrement correspondants ne sont pas compilés à
l'intérieur, ou parce qu'ils n'ont pas été écrits
correctement, sont simplement ignorés. Un échec n’est
signalé que si aucun algorithme de chiffrement n'a pu être
collecté.
Précision importante : l'inclusion d'un algorithme de chiffrement
à utiliser dans la liste est une condition nécessaire. Du
côté client, l'inclusion dans la liste est aussi suffisante. Du
côté serveur, des restrictions supplémentaires
s'appliquent. Tous les algorithmes de chiffrement ont des conditions
nécessaires supplémentaires. Les algorithmes de chiffrement ADH
n'ont pas besoin d'un certificat, mais les paramètres DH doivent avoir
été définis. Tous les autres algorithmes de chiffrement
ont besoin d'un certificat et d'une clef correspondants
Seul un algorithme de chiffrement RSA peut être choisi quand un
certificat RSA est disponible. Les algorithmes de chiffrement RSA
exportés avec une taille de clef de 512 bits pour la clef RSA
ont besoin d'une clef RSA temporaire de 512 bits, puisque les clefs
typiquement fournies ont une taille de 1024 bits (consultez
SSL_CTX_set_tmp_rsa_callback(3)). Les algorithmes de chiffrement RSA
utilisant EDH ont besoin d'un certificat et d'une clef et de paramètres
DH supplémentaires (consultez
SSL_CTX_set_tmp_dh_callback(3)).
Seul un algorithme de chiffrement DSA peut être choisi quand un
certificat DSA est disponible. Les algorithmes de chiffrement DSA utilisent
toujours un échange de clefs DH, et ont par conséquent besoin de
paramètres DH (consultez
SSL_CTX_set_tmp_dh_callback(3)).
Quand ces conditions ne sont pas réunies pour aucun algorithme de
chiffrement de la liste (par exemple un client qui ne gère que les
algorithmes de chiffrement RSA pour l’export avec une taille de clef
asymétrique de 512 bits et que le serveur n'est pas
configuré pour utiliser des clefs RSA temporaires), l'erreur
« pas d'algorithme de chiffrement partagé »
(SSL_R_NO_SHARED_CIPHER) est générée, et l'initialisation
échouera.
Si la liste d’algorithmes de chiffrement ne contient aucune suite de
chiffrement SSLv2 (état par défaut), alors SSLv2 est
réellement désactivé et ni les clients, ni les serveurs,
ne pourront utiliser SSLv2.
VALEURS DE RETOUR¶
SSL_CTX_set_cipher_list() et
SSL_set_cipher_list() renvoient
1 si un algorithme de chiffrement a pu être
sélectionné et
0 en cas d'échec complet.
VOIR AUSSI¶
ssl(3),
SSL_get_ciphers(3),
SSL_CTX_use_certificate(3),
SSL_CTX_set_tmp_rsa_callback(3),
SSL_CTX_set_tmp_dh_callback(3),
ciphers(1)
TRADUCTION¶
La traduction de cette page de manuel est maintenue par les membres de la liste
<debian-l10n-french AT lists DOT debian DOT org>. Veuillez signaler
toute erreur de traduction par un rapport de bogue sur le paquet
manpages-fr-extra.