SSL_CTX_set_cipher_list(3) Choisir la liste des

Other Alias

SSL_set_cipher_list

SYNOPSIS

#include <openssl/ssl.h>

int SSL_CTX_set_cipher_list(SSL_CTX *ctx, const char *str);
 int SSL_set_cipher_list(SSL *ssl, const char *str);

DESCRIPTION

SSL_CTX_set_cipher_list() définit la liste des algorithmes de chiffrement disponibles pour ctx en utilisant la chaîne de contrôle str. Le format de la chaîne est décrit dans ciphers(1). La liste d'algorithmes de chiffrement est héritée par tous les objets ssl créés à partir de ctx.

SSL_set_cipher_list() ne définit la liste des algorithmes de chiffrement que pour ssl.

NOTES

La chaîne de contrôle str devrait être universellement utilisable sans dépendre de détails de la configuration de bibliothèques (algorithmes de chiffrement compilés à l'intérieur). Ainsi, aucune vérification de syntaxe n'est effectuée. Les éléments qui ne sont pas reconnus, parce que les algorithmes de chiffrement correspondants ne sont pas compilés à l'intérieur, ou parce qu'ils n'ont pas été écrits correctement, sont simplement ignorés. Un échec n’est signalé que si aucun algorithme de chiffrement n'a pu être collecté.

Précision importante : l'inclusion d'un algorithme de chiffrement à utiliser dans la liste est une condition nécessaire. Du côté client, l'inclusion dans la liste est aussi suffisante. Du côté serveur, des restrictions supplémentaires s'appliquent. Tous les algorithmes de chiffrement ont des conditions nécessaires supplémentaires. Les algorithmes de chiffrement ADH n'ont pas besoin d'un certificat, mais les paramètres DH doivent avoir été définis. Tous les autres algorithmes de chiffrement ont besoin d'un certificat et d'une clef correspondants

Seul un algorithme de chiffrement RSA peut être choisi quand un certificat RSA est disponible. Les algorithmes de chiffrement RSA exportés avec une taille de clef de 512 bits pour la clef RSA ont besoin d'une clef RSA temporaire de 512 bits, puisque les clefs typiquement fournies ont une taille de 1024 bits (consultez SSL_CTX_set_tmp_rsa_callback(3)). Les algorithmes de chiffrement RSA utilisant DHE ont besoin d'un certificat et d'une clef et de paramètres DH supplémentaires (consultez SSL_CTX_set_tmp_dh_callback(3)).

Seul un algorithme de chiffrement DSA peut être choisi quand un certificat DSA est disponible. Les algorithmes de chiffrement DSA utilisent toujours un échange de clefs DH, et ont par conséquent besoin de paramètres DH (consultez SSL_CTX_set_tmp_dh_callback(3)).

Quand ces conditions ne sont pas réunies pour aucun algorithme de chiffrement de la liste (par exemple, un client qui ne gère que les algorithmes de chiffrement RSA pour l’export avec une taille de clef asymétrique de 512 bits et que le serveur n'est pas configuré pour utiliser des clefs RSA temporaires), l'erreur « pas d'algorithme de chiffrement partagé » (SSL_R_NO_SHARED_CIPHER) est générée, et l'initialisation échouera.

Si la liste d’algorithmes de chiffrement ne contient aucune suite de chiffrement SSLv2 (état par défaut), alors SSLv2 est réellement désactivé et ni les clients, ni les serveurs ne pourront utiliser SSLv2.

VALEURS DE RETOUR

SSL_CTX_set_cipher_list() et SSL_set_cipher_list() renvoient 1 si un algorithme de chiffrement a pu être sélectionné et 0 en cas d'échec complet.

TRADUCTION

La traduction de cette page de manuel est maintenue par les membres de la liste <debian-l10n-french AT lists DOT debian DOT org>. Veuillez signaler toute erreur de traduction par un rapport de bogue sur le paquet manpages-fr-extra.