table of contents
fr::ssl::SSL_CTX_set_max_cert_list(3SSL) | OpenSSL | fr::ssl::SSL_CTX_set_max_cert_list(3SSL) |
NOM¶
SSL_CTX_set_max_cert_list, SSL_CTX_get_max_cert_list, SSL_set_max_cert_list, SSL_get_max_cert_list - Contrôles autorisés sur les chaînes de certificats de pairs
SYNOPSIS¶
#include <openssl/ssl.h>
long SSL_CTX_set_max_cert_list(SSL_CTX *ctx,
long size);
long SSL_CTX_get_max_cert_list(SSL_CTX *ctx);
long SSL_set_max_cert_list(SSL *ssl, long
size);
long SSL_get_max_cert_list(SSL *ctx);
DESCRIPTION¶
SSL_CTX_set_max_cert_list() définit la taille maximale autorisée pour les chaînes de certificats de pairs pour tous les objets SSL créés à partir de ctx à taille octets. Les objets SSL héritent des réglages valables pour ctx au moment où SSL_new(3) est appelé.
SSL_CTX_get_max_cert_list() renvoie l’actuelle taille maximale pour ctx.
SSL_set_max_cert_list() définit la taille maximale autorisée pour la chaîne de certificats du pair pour ssl à taille octets. Ce réglage reste valable jusqu’à ce qu’une nouvelle valeur soit choisie.
SSL_get_max_cert_list() renvoie l’actuelle taille maximale pour ssl.
NOTES¶
Pendant le processus d’initialisation de connexion, le pair envoie une chaîne de certificats. La norme TLS/SSL n’indique pas de taille maximale pour la chaîne de certificats. La bibliothèque d’OpenSSL prend en charge les entrées de données avec un tampon alloué dynamiquement. Pour éviter que ce tampon grossisse sans limite à cause de données reçues d’un pair malveillant, une taille maximale pour la chaîne de certificats est définie.
La valeur maximale par défaut de la taille de chaîne de certificats est 100 ko (30 ko sur les plateformes DOS 16 bits). Cela devrait être suffisant pour les chaînes de certificats courantes (pour OpenSSL, la longueur maximale par défaut est 10, consultez SSL_CTX_set_verify(3), et les certificats sans extensions particulières ont classiquement une taille de 1 à 2 ko.
Pour des applications particulières, il peut être nécessaire d’augmenter la taille maximale de la chaîne de certificats pouvant être envoyée par le pair, consultez par exemple « Internet X.509 Public Key Infrastructure Proxy Certificate Profile » et « TLS Delegation Protocol » sur http://www.ietf.org/ et http://www.globus.org/.
Dans des conditions normales, il ne devrait jamais être nécessaire de définir une valeur plus petite que celle par défaut, car le tampon est géré dynamiquement et n’utilise que la mémoire réellement nécessaire pour les données envoyées par le pair.
Si la taille maximale de la chaîne de certificats est dépassée, l’initialisation de connexion échouera avec une erreur SSL_R_EXCESSIVE_MESSAGE_SIZE.
VALEURS DE RETOUR¶
SSL_CTX_set_max_cert_list() et SSL_set_max_cert_list() renvoient la valeur précédemment définie.
SSL_CTX_get_max_cert_list() et SSL_get_max_cert_list() renvoient la valeur actuellement définie.
VOIR AUSSI¶
HISTORIQUE¶
SSL*_set() et get_max_cert_list() ont été introduites dans OpenSSL 0.9.7.
TRADUCTION¶
La traduction de cette page de manuel est maintenue par les membres de la liste <debian-l10n-french AT lists DOT debian DOT org>. Veuillez signaler toute erreur de traduction par un rapport de bogue sur le paquet manpages-fr-extra.
2015-12-31 | 1.0.2a 1.0.2c |