NOM
s_time - Programme d’analyse de performances SSL/TLS
SYNOPSIS
openssl s_time [-connect hôte:port] [-www page] [-cert nom_fichier]
[-key nom_fichier] [-CApath répertoire] [-CAfile nom_fichier] [-reuse]
[-new] [-verify profondeur] [-nbio] [-time secondes] [-ssl2] [-ssl3]
[-bugs] [-cipher liste_algorithmes]
La commande s_time implémente un client générique SSL/TLS qui se
connecte à un hôte à distance en utilisant SSL/TLS. Elle peut demander
une page d’un serveur et inclure le temps de transfert de l’information
dans ses mesures de temps. Elle mesure le nombre de connections dans un
laps de temps donné, la quantité d’information transférée (s’il y en
a), et calcule le temps moyen utilisé pour une connexion.
OPTIONS
-connect hôte:port
Ceci spécifie l’hôte et le port optionnel auquel se connecter.
-www page
Ceci spécifie la page à obtenir sur le serveur. La valeur de ’/’
correspond à la page index.htm[l]. Si ce paramètre n’est pas
spécifié, alors s_time effectuera uniquement la poignée de main
(«handshake») pour établir des connexions SSL mais ne transférera
pas d’information utile.
-cert nom_certificat
Le certificat à utiliser, s’il est requis par le serveur. Par
défaut, aucun certificat n’est utilisé. Le fichier est au format
PEM.
-key fichier_clé
Le fichier contenant la clé privée à utiliser. S’il n’est pas
spécifié alors le fichier du certificat sera utilisé. Le fichier
est au format PEM.
-verify profondeur
La profondeur de vérification à utiliser. Ceci spécifie la taille
maximale de la chaîne de certification du serveur et active la
vérification du certificat du serveur. Actuellement l’opération de
vérification continue après les erreurs de façon à montrer tous les
problèmes liés à la chaîne de certification. Par conséquent, la
connexion n’échouera jamais à cause d’un échec de la vérification
du certificat du serveur.
-CApath répertoire
Le répertoire utilisé pour la vérification du certificat du
serveur. Ce répertoire doit être au format «hash», voir verify pour
plus d’informations. Il est aussi utilisé pour construire la chaîne
de certification du client.
-CAfile fichier
Un fichier contenant des certificats de confiance utilisés durant
l’authentification du serveur et quand on essaie de créer la chaîne
de certification du client.
-new
Effectue la mesure du temps en utilisant un nouvel identifiant de
session pour chaque connexion. Si ni -new ni -reuse ne sont
spécifiées, elles sont toutes deux mises par défaut et exécutées en
séquence.
-reuse
Effectue la mesure du temps en utilisant le même identifiant de
session; ceci peut être utilisé pour tester le fonctionnement de la
mise en cache des sessions. Si ni -new ni -reuse ne sont
spécifiées, elles sont toutes deux mises par défaut et exécutées en
séquence.
-nbio
Active les entrées-sorties non-bloquantes.
-ssl2, -ssl3
Ces options désactivent l’utilisation de certains protocoles SSL ou
TLS. Par défaut, la poignée de main initiale utilise une méthode
qui devrait être compatible avec tous les serveurs et leur permet
d’utiliser SSL v3, SSL v2 ou TLS comme approprié. Le programme de
test des performances n’est pas riche en options pour utiliser ou
non des protocoles comme le programme s_client(1) et pourrait ne
pas pouvoir se connecter à tous les serveurs.
Malheureusement il y a beaucoup d’anciens serveurs en utilisation
qui ne gèrent pas cette technique et échoueront à la connexion.
Certains serveurs fonctionnent uniquement si TLS est désactivé avec
l’option -ssl3; d’autres ne gèrent que SSL v2 et peuvent avoir
besoin de l’option -ssl2.
-bugs
Il y a plusieurs bogues connus dans les implémentations SSL et TLS.
L’ajout de cette option permet de contourner certains problèmes.
-cipher liste_algorithmes
Ceci permet de modifier la liste d’algorithmes envoyée par le
client. Bien que le serveur détermine quelle suite d’algorithmes
est utilisée, il devrait prendre le premier algorithme supporté
dans la liste envoyée par le client. Consultez la commande
ciphers(1) pour plus d’informations.
-time secondes
Spécifie pendant combien de temps (en secondes) s_time doit établir
des connexions et optionnellement transférer des informations à
partir d’un serveur. La performance du serveur et du client ainsi
que la vitesse du lien déterminent le nombre de connexions que
s_time peut établir.
NOTES
s_client peut être utilisé pour mesurer la performance d’une connexion
SSL. La commande suivante est typiquement utilisée pour se connecter à
un serveur SSL HTTP (https utilise le port 443) et obtenir la page par
défaut:
openssl s_time -connect nom_serveur:443 -www / -CApath votre_rep -CAfile votre_fichier.pem -cipher algorithme_commun [-ssl3]
’algorithme_commun’ est un algorithme sur lequel client et serveur
peuvent s’accorder, voir la commande ciphers(1) pour plus de détails.
Il peut y avoir plusieurs raison à l’échec de la poignée de main, s’il
n’y a rien d’évident, comme l’absence de certificat de client, alors
les options -bugs, -ssl2 et -ssl3 peuvent être essayées au cas où il
s’agirait d’un serveur bogué. En particulier vous devriez essayer ces
options avant de soumettre un rapport de bogue à une liste de diffusion
OpenSSL.
Un problème fréquent lorsqu’on essaie de faire fonctionner un
certificat client est qu’un client web se plaint qu’il n’y a pas de
certificat ou qu’il fournit un choix parmi une liste vide. Normalement
c’est parce que le serveur n’envoie pas l’autorité de certification aux
clients dans sa «liste d’autorités de certification acceptables» quand
il requiert un certificat. En utilisant s_client(1), la liste
d’autorités de certification peut être observée et vérifiée. Cependant
certains serveurs requiert uniquement l’authentification du client
après qu’une URL spécifique soit demandée. Pour obtenir la liste dans
ce cas, il est nécessaire d’utiliser l’option -prexit de s_client(1) et
d’envoyer une requête HTTP pour une page appropriée.
Si un certificat est spécifié sur la ligne de commandes en utilisant
l’option -cert, il ne sera pas utilisé à moins que le serveur spécifié
requiert un certificat client. Par conséquent, la simple utilisation
d’un certificat client sur la ligne de commandes ne garantit pas que le
certificat fonctionne.
BOGUES
Ce programme n’a pas toutes les options du programme s_client(1) pour
activer ou désactiver des protocoles, vous ne pouvez pas mesurer les
performances de tous les protocoles avec tous les serveurs.
L’option -verify devrait réellement quitter si la vérification du
serveur échoue.
VOIR AUSSI
s_client(1), s_server(1), ciphers(1)
TRADUCTION
Cette page de manuel a été traduite par Guillaume Quesnel en 2008 et
est maintenue par la liste <debian-l10n-french AT lists DOT debian DOT
org>. Veuillez signaler toute erreur de traduction par un rapport de
bogue sur le paquet manpages-fr-extra.