Get ebook downloads in full at ebookmeta.

com

OpenSSL Cookbook The Definitive Guide to the Most

Useful Command Line Features 3rd edition Ivan
Ristić

https://ebookmeta.com/product/openssl-cookbook-the-
definitive-guide-to-the-most-useful-command-line-
features-3rd-edition-ivan-ristic/

OR CLICK BUTTON

DOWNLOAD NOW

Explore and download more ebook at https://ebookmeta.com

 Recommended digital products (PDF, EPUB, MOBI) that
you can download immediately if you are interested.

OpenSSL Cookbook 3rd Edition Ivan Risti■

https://ebookmeta.com/product/openssl-cookbook-3rd-edition-ivan-
ristic/

ebookmeta.com

Efficient Linux at the Command Line: Boost Your Command-

Line Skills 1st Edition Daniel J. Barrett

https://ebookmeta.com/product/efficient-linux-at-the-command-line-
boost-your-command-line-skills-1st-edition-daniel-j-barrett/

ebookmeta.com

Take Control of the Mac Command Line with Terminal 3rd

Edition Joe Kissell

https://ebookmeta.com/product/take-control-of-the-mac-command-line-
with-terminal-3rd-edition-joe-kissell/

ebookmeta.com

The Morals and Ethics of the Qur’an Ali Rahim

https://ebookmeta.com/product/the-morals-and-ethics-of-the-quran-ali-
rahim/

ebookmeta.com
Advancing Your Photography Marc Silber

https://ebookmeta.com/product/advancing-your-photography-marc-silber/

ebookmeta.com

Laws of Depravity 1st Edition Eriq La Salle

https://ebookmeta.com/product/laws-of-depravity-1st-edition-eriq-la-
salle/

ebookmeta.com

Challenging Conceptions: Children Born of Wartime Rape and

Sexual Exploitation Kimberly Theidon (Editor)

https://ebookmeta.com/product/challenging-conceptions-children-born-
of-wartime-rape-and-sexual-exploitation-kimberly-theidon-editor/

ebookmeta.com

Lost Little Witch Witches of Fire Ice 2 1st Edition

Stephany Wallace

https://ebookmeta.com/product/lost-little-witch-witches-of-fire-
ice-2-1st-edition-stephany-wallace/

ebookmeta.com

Old English Literature A Guide to Criticism with Selected

Readings 1st Edition John D Niles

https://ebookmeta.com/product/old-english-literature-a-guide-to-
criticism-with-selected-readings-1st-edition-john-d-niles/

ebookmeta.com
Fiction in the Archives Pardon Tales and Their Tellers in
Sixteenth Century France 1st Edition Natalie Zemon Davis

https://ebookmeta.com/product/fiction-in-the-archives-pardon-tales-
and-their-tellers-in-sixteenth-century-france-1st-edition-natalie-
zemon-davis/
ebookmeta.com
 THIRD
EDITION

OPENSSL
COOKBOOK
The Definitive Guide to the Most
Useful Command Line Features

Ivan Ristić
Last update: Thu Feb 17 04:24:43 GMT 2022 (build 766)
OpenSSL Cookbook
Ivan Ristić
OpenSSL Cookbook
by Ivan Ristić
Third edition (build 766). Published in February 2022.
Copyright © 2022 Feisty Duck Limited. All rights reserved.

First edition published in May 2013.

Feisty Duck Limited

www.feistyduck.com
[email protected]

Technical reviewer: Matt Caswell

Production editor: Jelena Girić-Ristić
Copyeditors: Melinda Rankin, Nancy Wolfe Kotary

All rights reserved. No part of this publication may be reproduced, stored in a retrieval system, or transmitted, in any form or
by any means, without the prior permission in writing of the publisher.
The author and publisher have taken care in preparation of this book, but make no expressed or implied warranty of any kind and
assume no responsibility for errors or omissions. No liability is assumed for incidental or consequential damages in connection
with or arising out of the use of the information or programs contained herein.
Table of Contents
Preface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . v
Feedback v
Acknowledgments vi
About Bulletproof TLS and PKI vi
About the Author vii
1. OpenSSL Command Line . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Getting Started 1
Determine OpenSSL Version and Configuration 2
Building OpenSSL 3
Examine Available Commands 5
Building a Trust Store 7
Key and Certificate Management 8
Key Generation 8
Creating Certificate Signing Requests 12
Creating CSRs from Existing Certificates 14
Unattended CSR Generation 14
Signing Your Own Certificates 15
Creating Certificates Valid for Multiple Hostnames 15
Examining Certificates 16
Examining Public Certificates 17
Key and Certificate Conversion 20
Configuration 23
Obtaining Supported Suites 24
Understanding Security Levels 25
Configuring TLS 1.3 26
Configuring OpenSSL Defaults 28
Recommended Suite Configuration 29
Generating DH Parameters 31
Legacy Suite Configuration 31

iii
 Performance 36
Creating a Private Certification Authority 39
Features and Limitations 40
Creating a Root CA 40
Creating a Subordinate CA 47
2. Testing TLS with OpenSSL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
Custom-Compile OpenSSL for Testing 51
Connecting to TLS Services 52
Certificate Verification 56
Testing Protocols That Upgrade to TLS 57
Extracting Remote Certificates 57
Testing Protocol Support 58
Testing Cipher Suite Configuration 59
Testing Cipher Suite Preference 61
Testing Named Groups 62
Testing DANE 64
Testing Session Resumption 65
Keeping Session State across Connections 66
Checking OCSP Revocation 67
Testing OCSP Stapling 69
Checking CRL Revocation 70
Testing Renegotiation 72
Testing for Heartbleed 74
Determining the Strength of Diffie-Hellman Parameters 77

iv
Preface
For all its warts, OpenSSL is one of the most successful and most important open source
projects. It’s successful because it’s so widely used; it’s important because the security of large
parts of the Internet infrastructure relies on it. The project consists of a high-performance
implementation of key cryptographic algorithms, a complete TLS and PKI stack, and a com-
mand-line toolkit. I think it’s safe to say that if your job has something to do with security,
web development, or system administration, you can’t avoid having to deal with OpenSSL
on at least some level. The majority of the Internet is powered by open source products, and
most of them rely on OpenSSL.
This book covers two ways in which OpenSSL can be used. Chapter 1, OpenSSL Command
Line, will help users who need to perform routine tasks of key and certificate generation, and
configure programs that rely on OpenSSL for TLS functionality. This chapter also discusses
how to create a complete private CA, which is useful for development and similar internal
environments. Chapter 2, Testing TLS with OpenSSL, focuses on server security testing using
OpenSSL. Although sometimes time consuming, this type of low-level testing can’t be avoided
when you wish to know exactly what’s going on.
Both chapters are borrowed from my larger work, called Bulletproof TLS and PKI. I decided
to publish the OpenSSL chapters as a separate free book because there is a severe lack of good
and easily available documentation. As is often true for complex and long-lived projects, the
OpenSSL documentation you can find on the Internet is often wrong and outdated.
Besides, publishers often give away one or more chapters in order to show what the book is
like, and I thought I should make the most of this practice by not only making the OpenSSL
chapters free, but also by committing to continue to maintain and improve them over time.
So here they are.

Feedback
Reader feedback is always very important, but especially so in this case, because this is a living
book. In traditional publishing, often years pass before reader feedback goes back into the
book, and then only if another edition actually sees the light of day (which often does not

v
happen for technical books, because of the small market size). With this book, you’ll see new
content appear in a matter of days. Ultimately, what you send to me will affect how the book
will evolve.
The best way to contact me is to use my email address, [email protected]. Sometimes I
may also be able to respond via Twitter, where you will find me under the handle @ivanristic.

Acknowledgments
This is a short book, but it’s packed with technical information. As a result, there are ample
opportunities for mistakes. I am very grateful to Matt Caswell for his help in keeping the mis-
takes away. Matt, who is a member of the OpenSSL development team, joined me as technical
reviewer for the third edition.
Various people have written to me with their thoughts and corrections. They, too, made this
book better. I extend my thanks to Brian Howson, Christian Folini, Jeff Kayser, Martin Car-
penter, Michael Reschly, Karsten Weiss, Olivier Levillain, and Stephen N. Henson.
My special thanks goes to my copyeditor, Melinda Rankin. She has been a pleasure to work
with, as always.

About Bulletproof TLS and PKI

Bulletproof TLS and PKI is the book I wish I had back when I was starting to use SSL. I don’t
remember when that was exactly, but it was definitely very early on, back when you still had to
patch Apache to get it to support SSL. What I do remember is how, in 2005, when I was writing
my first book, Apache Security, I started to appreciate the complexities of cryptography. I even
began to like it.
In 2009 I started to work on SSL Labs, and for me, the world of cryptography began to unravel.
Fast-forward a decade, and in 2020 I am still learning. Cryptography is a unique field in which
the more you learn, the less you know.
In supporting SSL Labs users over the years, I realized that there was a lot written on SSL/TLS
and PKI, but that the material generally suffered from two problems: (1) all you need is not
in one place, making the little bits and pieces (e.g., RFCs) difficult to find, and (2) most of it
is too detailed and low level. Many documents are also obsolete. I tried to make sense of it all
and it took me years of work and study to even begin to understand the ecosystem.
Bulletproof TLS and PKI addresses the documentation gap. It’s a practical book that starts with
a gentle introduction and a solid theory background, but then moves to discuss everything
you need for your daily work. It also provides deep coverage of certain key aspects, for example
protocol attacks. For those who want even more, there are hundreds of references to research
papers and other external resources.

vi Preface
About the Author
Ivan Ristić writes computer security books and builds security products. His book Bulletproof
TLS and PKI, the result of more than a decade of research and study, is widely recognized
as the de-facto SSL/TLS and PKI reference manual. His work on SSL Labs made hundreds
of thousands of web sites more secure. Before that, he created ModSecurity, a leading open
source web application firewall.
More recently, Ivan founded Hardenize, a platform for continuous security monitoring that
provides free assessments to everyone. He’s a member of Let’s Encrypt’s technical advisory
board.

About the Author vii

1 OpenSSL Command Line
OpenSSL is the world’s most widely used implementation of the Transport Layer Security
(TLS) protocol. At the core, it’s also a robust and a high-performing cryptographic library
with support for a wide range of cryptographic primitives. In addition to the library code,
OpenSSL provides a set of command-line tools that serve a variety of purposes, including
support for common PKI operations and TLS testing.
OpenSSL is a de facto standard in this space and comes with a long history. The code initially
began its life in 1995 under the name SSLeay,1 when it was developed by Eric A. Young and
Tim J. Hudson. OpenSSL as a separate project was born in 1998, when Eric and Tim decided
to begin working on a commercial SSL/TLS toolkit called BSAFE SSL-C. A community of
developers picked up the project and continued to maintain it.
Today, OpenSSL is ubiquitous on the server side and in many client programs. The com-
mand-line tools are also the most common choice for key and certificate management. When
it comes to browsers, OpenSSL also has a substantial market share, albeit via Google’s fork,
called BoringSSL.
OpenSSL used to be dual-licensed under OpenSSL and SSLeay licenses. Both are BSD-like,
with an advertising clause. With version 3.0, released in September 2021, OpenSSL simplified
its licensing by moving to Apache License v2.0.

Getting Started
If you’re using one of the Unix platforms, getting started with OpenSSL should be easy; you’re
virtually guaranteed to have it already installed on your system. Still, things could go wrong.
For example, you could have a version that’s just not right, or there could be other tools (e.g.,
LibreSSL) configured to respond when OpenSSL is invoked. For this reason, it’s best to first
check what you have installed and resort to using a custom installation only if absolutely
necessary. Another option is to look for a packaging platform. For example, for OS X you

1
The letters “eay” in the name SSLeay are Eric A. Young’s initials.

1
could use Brew or MacPorts. As always, compiling something from scratch once is rarely a
problem; maintaining that piece of software indefinitely is.
In this chapter, I assume that you’re using a Unix platform because that’s the natural envi-
ronment for OpenSSL. On Windows, it’s less common to compile software from scratch be-
cause the tooling is not readily available. You can still compile OpenSSL yourself, but it might
take more work. Alternatively, you can consider downloading the binaries from the Shining
Light Productions web site.2 If you’re downloading binaries from multiple web sites, you need
to ensure that they’re not compiled under different versions of OpenSSL. If they are, you
might experience crashes that are difficult to troubleshoot. The best approach is to use a single
bundle of programs that includes everything that you need. For example, if you want to run
Apache on Windows, you can get your binaries from the Apache Lounge web site.3

Determine OpenSSL Version and Configuration

Before you do any work, you should know which OpenSSL version you’ll be using. TLS and
PKI continue to develop at a fairly rapid pace, and you may find that what you can do is limited
if your version of OpenSSL doesn’t support them. Here’s what I get for version information
with openssl version on Ubuntu 20.04 LTS, which is the system that I’ll be using for the
examples in this chapter:
$ openssl version
OpenSSL 1.1.1f 31 Mar 2020

At the time of writing, OpenSSL 1.1.1 is the dominant branch used in production and has
all the nice features. On older systems, you may find a release from the 1.1.0 branch, which
is fine because it can be used securely with TLS 1.2, but it won’t support modern features,
such as TLS 1.3. In the other direction is OpenSSL 3.0, which introduces a major update of
the libraries, with substantial architectural changes and a switch to the Apache License 2.0 for
better interoperability with other programs and libraries. The command-line tooling, which
is what I am covering in this chapter and the next, should be pretty much the same. That
said, every release—and especially the major ones—is very likely to change the tools’ behavior,
often in subtle ways. When you’re changing from one branch to another, it’s worth going
through the change documentation to understand what the differences might be.

Note
Although you wouldn’t know it from looking at the version number, various oper-
ating systems often don’t actually ship the exact official OpenSSL releases. More of-
ten than not, they contain forks that are either customized for a specific platform
or patched to address various known issues. However, the version number generally

2
Win32/Win64 OpenSSL (Shining Light Productions, retrieved 19 July 2020)
3
Apache 2.4 VS16 Windows Binaries and Modules (Apache Lounge, retrieved 18 September 2021)

2 Chapter 1: OpenSSL Command Line

 stays the same, and there is no indication that the code is a fork of the original project
that may have different capabilities. Keep this in mind if you notice something un-
expected.

To get complete version information, use the -a switch:

$ openssl version -a
OpenSSL 1.1.1f 31 Mar 2020
built on: Mon Apr 20 11:53:50 2020 UTC
platform: debian-amd64
options: bn(64,64) rc4(16x,int) des(int) blowfish(ptr)
compiler: gcc -fPIC -pthread -m64 -Wa,--noexecstack -Wall -Wa,--noexecstack -g -O2 …
-fdebug-prefix-map=/build/openssl-P_ODHM/openssl-1.1.1f=. -fstack-protector-strong …
-Wformat -Werror=format-security -DOPENSSL_TLS_SECURITY_LEVEL=2 -DOPENSSL_USE…
_NODELETE -DL_ENDIAN -DOPENSSL_PIC -DOPENSSL_CPUID_OBJ -DOPENSSL_IA32_SSE2 …
-DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DSHA1_ASM …
-DSHA256_ASM -DSHA512_ASM -DKECCAK1600_ASM -DRC4_ASM -DMD5_ASM -DAESNI_ASM -DVPAES…
_ASM -DGHASH_ASM -DECP_NISTZ256_ASM -DX25519_ASM -DPOLY1305_ASM -DNDEBUG …
-Wdate-time -D_FORTIFY_SOURCE=2
OPENSSLDIR: "/usr/lib/ssl"
ENGINESDIR: "/usr/lib/x86_64-linux-gnu/engines-1.1"
Seeding source: os-specific

I don’t suppose that you would find this output very interesting initially, but it’s useful to know
where you can find out how your OpenSSL was compiled. Of special interest is the OPENSSLDIR
setting, which in my example points to /usr/lib/ssl; it will tell you where OpenSSL looks
for its default configuration and root certificates. On my system, that location is essentially an
alias for /etc/ssl, Ubuntu’s main location for PKI-related files:
lrwxrwxrwx 1 root root 14 Apr 20 11:53 certs -> /etc/ssl/certs
drwxr-xr-x 2 root root 4096 May 14 21:38 misc
lrwxrwxrwx 1 root root 20 Apr 20 11:53 openssl.cnf -> /etc/ssl/openssl.cnf
lrwxrwxrwx 1 root root 16 Apr 20 11:53 private -> /etc/ssl/private

The misc/ folder contains a few supplementary scripts, the most interesting of which are the
scripts that allow you to implement a private certification authority (CA). You may or may
not end up using it, but later in this chapter I will show you how to do the equivalent work
from scratch.

Building OpenSSL
In most cases, you will be using the system-supplied version of OpenSSL, but sometimes there
are good reasons to use a newer or indeed an older version. For example, if you have an older
system, it may be stuck with a version of OpenSSL that does not support TLS 1.3. On the
other side, newer OpenSSL versions might not support SSL 2 or SSL 3. Although this is the

Building OpenSSL 3
right thing to do in a general case, you’ll need support for these older features if your job is
to test systems for security.
You can start by downloading the most recent version of OpenSSL (in my case, 1.1.1g):
$ wget https://www.openssl.org/source/openssl-1.1.1g.tar.gz

The next step is to configure OpenSSL before compilation. For this, you will usually use
the config script, which first attempts to guess your architecture and then runs through the
configuration process:
$ ./config \
--prefix=/opt/openssl \
--openssldir=/opt/openssl \
no-shared \
-DOPENSSL_TLS_SECURITY_LEVEL=2 \
enable-ec_nistp_64_gcc_128

The automated architecture detection can sometimes fail (e.g., with older versions of
OpenSSL on OS X), in which case you should instead invoke the Configure script with the
explicit architecture string. The configuration syntax is otherwise the same.
Unless you’re sure you want to do otherwise, it is essential to use the --prefix option to install
OpenSSL to a private location that doesn’t clash with the system-provided version. Getting
this wrong may break your server. The other important option is no-shared, which forces
static linking and makes self-contained command-line tools. If you don’t use this option,
you’ll need to play with your LD_LIBRARY_PATH configuration to get your tools to work.
When compiling OpenSSL 1.1.0 or later, the OPENSSL_TLS_SECURITY_LEVEL option configures
the default security level, which establishes default minimum security requirements for all
library users. It’s very useful to set this value at compile time as it can be used to prevent
configuration mistakes. I discuss security levels in more detail later in this chapter.
The enable-ec_nistp_64_gcc_128 parameter activates optimized versions of certain frequent-
ly used elliptic curves. This optimization depends on a compiler feature that can’t be auto-
matically detected, which is why it’s disabled by default. The complete set of configuration
options is available on the OpenSSL wiki.4

Note
When compiling software, it’s important to be familiar with the default configuration
of your compiler. System-provided packages are usually compiled using various
hardening options, but if you compile some software yourself there is no guarantee
that the same options will be used.5

4
Compilation and Installation (OpenSSL, retrieved 12 August 2020)
5
Hardening (Debian, 3 August 2020)

4 Chapter 1: OpenSSL Command Line

If you’re compiling a version before 1.1.0, you’ll need to build the dependencies first:
$ make depend

OpenSSL 1.1.0 and above will do this automatically, so you can proceed to build the main
package with the following:
$ make
$ make test
$ sudo make install

You’ll get the following in /opt/openssl:

drwxr-xr-x 2 root root 4096 Jun 3 08:49 bin

drwxr-xr-x 2 root root 4096 Jun 3 08:49 certs
drwxr-xr-x 3 root root 4096 Jun 3 08:49 include
drwxr-xr-x 4 root root 4096 Jun 3 08:49 lib
drwxr-xr-x 6 root root 4096 Jun 3 08:48 man
drwxr-xr-x 2 root root 4096 Jun 3 08:49 misc
-rw-r--r-- 1 root root 10835 Jun 3 08:49 openssl.cnf
drwxr-xr-x 2 root root 4096 Jun 3 08:49 private

The private/ folder is empty, but that’s normal; you do not yet have any private keys. On the
other hand, you’ll probably be surprised to learn that the certs/ folder is empty too. OpenSSL
does not include any root certificates; maintaining a trust store is considered outside the scope
of the project. Luckily, your operating system probably already comes with a trust store that
you can use immediately. The following worked on my server:
$ cd /opt/openssl
$ sudo rmdir certs
$ sudo ln -s /etc/ssl/certs

Examine Available Commands

OpenSSL is a cryptographic toolkit that consists of many different utilities. I counted 48 in
my version. If there was ever an appropriate time to use the phrase Swiss Army knife of cryp-
tography, this is it. Even though you’ll use only a handful of the utilities, you should familiar-
ize yourself with everything that’s available because you never know what you might need in
the future.
To get an idea of what is on offer, simply request help:
$ openssl help

The first part of the help output lists all available utilities. To get more information about a
particular utility, use the man command followed by the name of the utility. For example, man

Examine Available Commands 5

ciphers will give you detailed information on how cipher suites are configured. However, man
openssl-ciphers should also work:

Standard commands
asn1parse ca ciphers cms
crl crl2pkcs7 dgst dhparam
dsa dsaparam ec ecparam
enc engine errstr gendsa
genpkey genrsa help list
nseq ocsp passwd pkcs12
pkcs7 pkcs8 pkey pkeyparam
pkeyutl prime rand rehash
req rsa rsautl s_client
s_server s_time sess_id smime
speed spkac srp storeutl
ts verify version x509

The help output doesn’t actually end there, but the rest is somewhat less interesting. In the
second part, you get the list of message digest commands:
Message Digest commands (see the `dgst' command for more details)
blake2b512 blake2s256 gost md4
md5 rmd160 sha1 sha224
sha256 sha3-224 sha3-256 sha3-384
sha3-512 sha384 sha512 sha512-224
sha512-256 shake128 shake256 sm3

And then in the third part, you’ll see the list of all cipher commands:
Cipher commands (see the `enc' command for more details)
aes-128-cbc aes-128-ecb aes-192-cbc aes-192-ecb
aes-256-cbc aes-256-ecb aria-128-cbc aria-128-cfb
aria-128-cfb1 aria-128-cfb8 aria-128-ctr aria-128-ecb
aria-128-ofb aria-192-cbc aria-192-cfb aria-192-cfb1
aria-192-cfb8 aria-192-ctr aria-192-ecb aria-192-ofb
aria-256-cbc aria-256-cfb aria-256-cfb1 aria-256-cfb8
aria-256-ctr aria-256-ecb aria-256-ofb base64
bf bf-cbc bf-cfb bf-ecb
bf-ofb camellia-128-cbc camellia-128-ecb camellia-192-cbc
camellia-192-ecb camellia-256-cbc camellia-256-ecb cast
cast-cbc cast5-cbc cast5-cfb cast5-ecb
cast5-ofb des des-cbc des-cfb
des-ecb des-ede des-ede-cbc des-ede-cfb
des-ede-ofb des-ede3 des-ede3-cbc des-ede3-cfb
des-ede3-ofb des-ofb des3 desx
rc2 rc2-40-cbc rc2-64-cbc rc2-cbc
rc2-cfb rc2-ecb rc2-ofb rc4
rc4-40 seed seed-cbc seed-cfb

6 Chapter 1: OpenSSL Command Line

 seed-ecb seed-ofb sm4-cbc sm4-cfb
sm4-ctr sm4-ecb sm4-ofb

Building a Trust Store

OpenSSL does not come with a collection of trusted root certificates (also known as a root store
or a trust store), so if you’re installing from scratch you’ll have to find them somewhere else.
One possibility is to use the trust store built into your operating system, as I’ve shown earlier.
This choice is usually fine, but the built-in trust stores may not always be up to date. Also, in
a mixed environment there could be meaningful differences between the default stores in a
variety of systems. A consistent and possibly better choice—but one that involves more work
—is to reuse Mozilla’s work. Mozilla put a lot of effort into maintaining a transparent and
up-to-date root store for use in Firefox.6
Because it’s open source, Mozilla keeps the trust store in the source code repository:
https://hg.mozilla.org/releases/mozilla-beta/file/tip/security/nss/lib/ckfw…
/builtins/certdata.txt

Unfortunately, its certificate collection is in a proprietary format, which is not of much use to
others as is. If you don’t mind getting the collection via a third party, the Curl project provides
a regularly updated conversion in Privacy-Enhanced Mail (PEM) format, which you can use
directly:
http://curl.haxx.se/docs/caextract.html

If you’d rather work directly with Mozilla, you can convert its data using the same tool that
the Curl project is using. You’ll find more information about it in the following section.

Note
If you have an itch to write your own conversion script, note that Mozilla’s root
certificate file is not a simple list of certificates. Although most of the certificates are
those that are considered trusted, there are also some that are explicitly disallowed.
Additionally, some certificates may only be considered trusted for certain types of
usage. The Perl script I describe here is smart enough to know the difference.

At this point, what you have is a root store with all trusted certificates in the same file. This
will work fine if you’re only going to be using it with, say, the s_client tool. In that case, all
you need to do is point the -CAfile switch to your root store. Replacing the root store on a
server will require more work, depending on what operating system is used.
On Ubuntu, for example, you’ll need to replace the contents of the /etc/ssl/certs folder.
Ubuntu ships with a tool called update-ca-certificates that might work. Alternatively, you

6
Mozilla CA Certificate Store (Mozilla; 9 August 2020)

Building a Trust Store 7

Other documents randomly have
different content
creuse faconde, fléau dont tous nos écrivains et surtout nos orateurs
sont encore loin d’être indemnes.
Mais, au-dessus des romantiques et des positivistes, saluons, de
toute la vénération de notre amour, les grands apologistes, les
romanciers et les poètes catholiques sans qui nous ne serions pas
ce que nous sommes. Nommons-les ici, quand même ils sont dans
la mémoire de tous, comme on lit les noms des morts tombés au
champ d’honneur : de Maistre, Bonald, Lamennais avant son
apostasie, Balzac, en dépit de ses confusions philosophiques, Blanc
de Saint-Bonnet, Lacordaire, Barbey d’Aurevilly, Veuillot, Villiers de
l’Isle-Adam, Hello, Huysmans, Verlaine, Léon Bloy. Ces grands
aînés marchent devant nous, non pour nous imposer d’être leurs
disciples, mais pour nous exciter à faire mieux qu’ils n’ont fait.
Pour nous qui voyons de loin déjà ces luminaires d’un autre
siècle, la concordance de leurs mouvements espacés nous est un
haut signe d’espoir. Ils eurent mission de réintégrer le Christ au
centre de la pensée et du vouloir humain, et, dans cette œuvre
essentielle, ils se sont continués, comme s’échelonnent des astres
sur les routes éternelles. Entre Joseph de Maistre établissant la
suprématie du dogme et Barbey d’Aurevilly déclarant dans la
préface de l’Ensorcelée que l’art catholique, avec sa « grande
largeur », ne craint pas de toucher aux passions lorsqu’il s’agit de
faire trembler sur leurs suites, nous percevons cette commune
certitude : dans tous les domaines, aussi bien dans celui de
l’imagination que dans celui de l’intelligence, le catholicisme doit être
souverain.
Il doit l’être avant tout, au fond de l’écrivain lui-même. Si nos
aînés nous laissent des modèles imparfaits, ce n’est point seulement
que tout génie reste « court par quelque endroit ». C’est qu’ils furent
incomplètement des catholiques et des chrétiens. Supposez Balzac
prenant la peine de s’assimiler une bonne philosophie scholastique ;
il n’eût point confondu la nature et le surnaturel, comme il l’a fait
dans le galimatias de Louis Lambert et de Seraphita. Supposez
Verlaine s’évadant sans retour du cloaque où il avait expérimenté
l’immondice des instincts ; il nous eût donné mieux que la dolence
de ses faiblesses ; il se fût dépouillé d’un je ne sais quoi d’indécis et
d’artificiel qui s’insère en ses plus suaves élévations.
Car, s’il est souverain dans l’être intérieur du poète, le
catholicisme exclut de son œuvre les cabotinages littéraires, les
sournoises habiletés comme les molles négligences. Toute poésie
où une certaine forme de rythme et d’expression devient tyrannique,
calculée, porte un germe de mort, n’est pas vraiment chrétienne.
L’art chrétien, toujours difficile, est plein de pièges pour quiconque,
guetté par le démon du factice, s’y engage sans la candeur d’une foi
absolue. Et cette candeur même est plus aisée à perdre qu’à obtenir.
Il serait odieux d’en faire une attitude. Vous vous rappelez ce héros
d’un roman de Chesterton qui « voyait des anges agenouillés dans
l’herbe, avant d’avoir vu l’herbe ». Il serait beau de voir le monde
ainsi ; très peu d’entre nous — et très peu, c’est beaucoup dire —
ont ce degré d’ingénuité. Contentons-nous donc d’être sincères,
vrais devant les hommes comme devant nous-mêmes.
Le propre d’un écrivain catholique est d’aimer éperdument ce qui
est vrai. Pour atteindre le supra-sensible, nous avons à refouler le
brouillard, dense comme des ténèbres, d’un naturalisme athée. Il ne
s’agit point de fermer les yeux en le traversant, mais d’élever en
notre main la lampe ardente qui le percera. Projetons-en la flamme
hardie sur tout ce qui peut être éclairé. Quand on tient ces deux
vérités, la chute et la rédemption, il n’est aucun gouffre où l’on ne
puisse envoyer une flamme de justice, un signal de compassion, un
appel d’espérance.
Pour un artiste d’une foi vigoureuse, l’attitude en face de la
nature est aisée à définir : il regarde, il sent la vie telle que sa vue de
réaliste la lui fait voir et aimer ; et il l’interprète selon l’optique
chrétienne qui ne déforme pas les objets, qui les rejoint entre eux et
les explique en les illuminant.
Notre unanime désir est que cet ensemble d’idées aboutisse à
susciter, dans la littérature prochaine, plus d’ardeur créatrice, plus de
beauté. Durant la guerre et surtout au moment de la victoire, j’avais
espéré des temps cornéliens, un épanouissement d’enthousiasme,
d’allégresse, de force exubérante, des cris de clairons ailés dans un
soleil de gloire, puis le chœur austère des héroïsmes pacifiques
tendus vers la patrie et le monde à rénover. Ni l’esprit public, ni la
multitude des livres surgis depuis quatre ans n’ont correspondu à
cette illusion. Les Hymnes de Joachim Gasquet, symphonie
délirante, splendide par intervalles, ne chantent que le péan du
triomphe d’un jour.
Au lendemain du triomphe, le poids immense des deuils,
l’énormité de la tâche à reprendre, les déceptions du présent et les
anxiétés de l’avenir ont déterminé chez beaucoup une sorte
d’affaissement sur eux-mêmes, une dissolution des forces viriles. Il
est grand temps, pour les volontés en désarroi, de se reprendre. Aux
écrivains catholiques plus qu’à personne, il incombe de sonner le
ralliement des énergies. Je voudrais que leur voix, par-dessus la
lourde rumeur des incertitudes, ressemblât à ces cloches de balises
dont la vibration, large et douce comme celle d’un cor lointain,
domine les chocs des vents et les hurlements de la mer.
Je voudrais que les plus puissantes et les plus pures d’entre elles
fussent des cloches de cathédrale, des cloches de Te Deum, des
cloches de Fête-Dieu, des cloches de deuil aussi, de pitié ou
d’alarme, mais, plus encore, des cloches nuptiales, des cloches de
résurrection. Les âmes ont besoin de savoir qu’elles ne vont pas
mourir. D’où leur viendra, sinon du poète chrétien, en forme de libre
cantique, le message de la paix, le message de l’éternité ? Nulle
conception ne saurait être vaste et forte à l’égal du surnaturalisme
catholique. Lorsque j’en cherche l’idéale figure, je me souviens d’un
vieux mystique comparant l’amour parfait « à un anneau d’or qui
serait plus ample que le ciel, la terre et toutes les choses créées ».
Quand je m’en représente la réalité plus modeste, je pense à une
parole de l’admirable Mistral dans une lettre à Lamartine : « Si
humble et si petit que soit le grain de blé, lorsqu’il monte en épis
sous la rosée du ciel, il peut encore faire honneur à la main qui l’a
semé. »
Voilà le grand point : que le champ où nous voulons remplir notre
journée de bons ouvriers soit étroit ou large, avare ou plantureux, ne
disons jamais comme les hommes sans foi : Ce champ est à nous ; il
y a nous et rien que nous ; ne cherchons pas notre gloire, mais
rendons-la toute à la Main qui a tout donné.
 LES POSSIBILITÉS DU ROMAN CATHOLIQUE

Il ne sera jamais superflu de le redire : de toutes les formes

littéraires, la plus ardue, c’est le roman. Nulle autre ne requiert la
mise en jeu d’éléments si complexes ni une telle constance de vérité
créatrice. L’œuvre romanesque, parfaite comme est parfait, au
théâtre, Œdipe-Roi, semble un prodige encore à naître. Un bref
roman d’analyse, une idylle, un récit fantaisiste peuvent donner
l’illusion d’un ouvrage sans défaut. Mais, lorsqu’un vaste sujet
entrelace des caractères et des milieux, fait surgir, au-dessus de
figures multiples et d’une masse d’épisodes, une grande idée vitale,
cette entreprise équivaut à vouloir introduire dans le plan du réel un
système de forces, presque un monde incréé.
Pareille audace reste forcément inférieure à son objet. Elle a plus
de chances encore de ne point l’atteindre, si l’artiste veut faire tenir
en une synthèse les relations du visible avec l’invisible, s’il est un
romancier catholique et mystique.
Nous vivons dans la sphère des apparences. Elles retiennent
l’imagination par tout le poids de leurs attraits ; ou bien elles
l’oppriment par la terreur et le dégoût. Pour les dominer, il faut les
avoir scrutées sous la lumière des régions divines ; il faut aussi les
avoir bien vues d’un regard qui observe afin de représenter
fidèlement.
Le romancier catholique doit être tout ensemble un réaliste et un
surnaturaliste. Je dis réaliste, non point naturaliste. Catholique et
naturaliste, ces deux mots hurlent de se voir ensemble. Le
naturaliste s’attache au fait pour le fait ; il se pose devant la création
comme un clerc de notaire inventoriant un mobilier ; ou, s’il la
considère en philosophe, c’est, asservi à un dur système ; il saisit
dans l’homme l’animalité ; il constate les tares ataviques, la
mesquinerie des habitudes, la hideur des vices. Quand il note les
caractères d’un milieu, il n’a souci que d’ajouter quelques fiches au
dossier humain ; il se donne la volupté stérile de construire une
figuration. S’il se penche avec sympathie sur la misère de ses
personnages, s’il y reconnaît la sienne, il peut vivifier d’un souffle
douloureux ces ombres qui s’agitent dans le vide. La Sapho
d’Alphonse Daudet, la Germinie Lacerteux des Goncourt sont des
témoignages probants, comme une confession, sur la déchéance où
peut glisser une pauvre âme dans l’abandon. La vie lui paraît le plus
ennuyeux des non-sens. Le monde se dresse contre elle, comme
une machine stupidement implacable, pour l’écraser. La mort lui
reste, seule fenêtre entre-bâillée sur le libre espace. C’est pourquoi
tant de romans naturalistes, depuis Madame Bovary, finissent, d’une
manière inévitable, par un suicide. Les casiers de l’observation
naturaliste ressemblent à ces geôles suffocantes où Sainte Thérèse,
dans sa vision de l’Enfer, se sentit bloquée, sous un plafond si bas,
entre des parois si étroites qu’elle ne pouvait se tenir debout ni
s’asseoir ; et, naïvement, elle s’étonnait qu’au sein de ténèbres
opaques on pût distinguer toutes les choses affreuses pour la vue.
Image de damnation qui n’est pas un mensonge, quand le romancier
considère la société moderne, en son désordre et son athéisme. Les
âmes ne peuvent plus même jeter le cri de leur détresse :

Le silence est au fond de tout le bruit qu’on fait.

Si, par intervalles, le naturaliste et le réaliste catholique ont l’air

de se rejoindre, c’est dans la nausée des laideurs. Mais le premier
n’y reconnaît que le jeu accidentel de forces inconscientes ; l’autre y
découvre les suites du péché ; au bout des drames les plus atroces il
voit entreluire la Rédemption. L’art du naturaliste est un miroir qui
réfléchit de mornes surfaces ; celui du réaliste chrétien pénètre
jusqu’à la substance et aux racines des événements.
Le naturalisme est tellement inhumain que ses fanatiques eux-
mêmes n’ont guère pu s’y confiner. Flaubert s’abîma dans une sorte
de nihilisme idéaliste, celui que le Diable, au plus aigu de la
tentation, souffle à l’oreille de Saint Antoine : Peut-être qu’il n’y a
rien. Zola devait aboutir au songe millénariste, puéril et grossier,
d’une humanité innocente, heureuse par la satisfaction de ses
appétits.
La notion de substance, seul, le catholique en possède la ferme
plénitude. Il révère en toutes les choses de ce monde la main divine
qui les crée et les sauve. Il admire « les lys des champs », comme
Jésus les admirait, vêtus plus splendidement que Salomon sur son
trône.
Jésus n’apportait pas aux hommes une chimère de perfection. Il
voulait réellement souffrir et mourir. Vere passum, immolatum.
La foi en la Présence réelle demeure le fondement du réalisme
catholique.
C’était l’amour du Christ uni à la terre dans le pain et le vin de
l’Hostie qui jetait Saint François en contemplation devant les plus
infimes créatures et lui faisait parfois embrasser avec des pleurs de
joie les arbres ou les rocs dont le Seigneur a dit que, si les hommes
se taisaient, leurs pierres crieraient sa gloire.
L’homme étant conçu comme l’image de Dieu, l’artiste s’appliqua
plus exactement à la vérité de la ressemblance [107] .
[107] Il serait facile de montrer que tout réalisme
profond part d’une intention religieuse. Ainsi, dans l’art
égyptien.

De là, chez l’artiste chrétien, un sens de la beauté céleste, un

sens de la laideur aussi que le paganisme n’avait point soupçonné.
Car le péché déforme la ressemblance divine ; le Démon y
superpose son affreuse empreinte.
Et nous ne songeons pas seulement à la vérité des contrastes, à
l’exactitude plastique. Le plus important, c’est l’intérieur de l’homme,
l’éternel conflit dont il est le champ de bataille, le mystère des
perspectives surnaturelles où se prépare le dénouement.
Réalisme et surnaturalisme ne font qu’un.
 Appliquées au roman dont les formes ont une autre souplesse
que le théâtre ou le poème lyrique, les possibilités de l’art chrétien
sont immenses. Il semble étrange qu’on les ait si peu explorées.
Certains romans du moyen âge — ainsi Perceval le Gallois —
proposaient des fictions taillées, si l’on peut dire, en plein drap, dans
le dogme, et pleines de symboles mystiques. Raymond Lulle, dans
son Blanquerna, inspiré, croit-on, d’un roman hindou, suivit l’histoire
d’un homme jeune qui s’aventure à travers le monde, en quête de
bonheur et de sagesse ; il se marie, puis entre dans un monastère ; il
devient ensuite un prélat, un cardinal ; il est élu Pape ; après quoi il
se retire loin du monde ; ermite au fond d’un bois, il goûte enfin la
béatitude. Les Espagnols ont souvent imité ce type de roman qui
peut esquisser toutes les conditions sociales, peindre des milieux,
des sentiments multiples, se faire varié comme la vie même.
Cependant le genre, dès le moyen âge, fléchissait vers une
frivolité mondaine. On y cherchait ce qu’on y cherche trop encore, un
éphémère amusement. La plupart des sujets tournaient, comme des
écureuils dans leur cage, à l’intérieur de cette monotone intrigue : un
tel sera-t-il l’amant d’une telle ? Ils allaient de l’amour héroïque à
l’amour idyllique, laissant aux récits des contes les licences de
l’amour grivois.
Nous ne demanderons pas un modèle de roman catholique à
l’Amadis ni à l’Astrée, ni au Grand Cyrus, ni même à Don Quichotte,
encore moins au Décaméron ou à Pantagruel, bien que les plus
idéalistes de ces livres impliquent la civilisation chrétienne avec ses
délicatesses, et que Boccace, Rabelais, là même où ils travaillent à
corrompre le catholicisme, en restent nourris.
Le seul beau roman qui ait surnagé au XVIIe siècle fut, il est vrai,
un roman chrétien ; la Princesse de Clèves repose sur l’idée du
renoncement. Mme de Clèves sacrifie un bonheur possible ; elle
s’obstine à le repousser, quand la mort de son mari l’a rendue libre.
Mais, chez elle, l’amour humain ne s’immole pas à l’amour céleste ;
elle assure, avant tout, le repos de sa conscience ; elle a peur de
s’engager en de nouveaux liens. Deviendra-t-elle jamais un grand
cœur mystique ? Elle est bien plutôt une femme raisonnable qui
pèse des risques et se range au parti de l’entière sécurité.
Il eût été prodigieux que le XVIIIe siècle libertin vît surgir un roman
chrétien d’esprit. Manon Lescaut aurait pu l’être. Le conflit d’un
sentiment profane et d’une vocation pieuse, la rédemption après la
chute, le relèvement de la brebis perdue enfermaient la donnée
d’épisodes admirables. L’abbé Prévost n’en tira qu’un roman
d’aventures trop mollement bâti, où serpente le perfide lieu commun
de la courtisane réhabilitée.
Les romans de Voltaire visaient à exterminer toute conception
chrétienne de la vie. Candide est le ricanement satanique du
désespoir, devant l’énigme du péché. Néanmoins, le blasphème
atteste Dieu ; l’homme qui descend jusqu’au fond de sa misère
impuissante réveille, même contre son gré, le besoin d’un appel au
Rédempteur. Candide est plus près d’une apologétique à rebours
que la nouvelle Héloïse ou Paul et Virginie.
Avec sa thèse : La nature est bonne, Jean-Jacques semblait
ruiner, dans l’art, les chances d’un renouveau chrétien. La Terreur se
chargea de le démentir. Et Chateaubriand, converti, osa prendre le
contre-pied de Rousseau ; Atala rétablit au-dessus de la nature la
sainte loi du sacrifice. Très imparfaitement, d’ailleurs. Si la mère
d’Atala n’avait lié par un vœu imprudent l’avenir de sa fille, les
amants s’uniraient en liberté ; nous aurions, avec des horizons plus
vastes, une reprise de Paul et Virginie. La contrainte catholique
intervient comme un trouble-fête. Un disciple de Rousseau eût
estimé qu’elle a tort ; Chateaubriand devait être un peu de son avis.
Les parties chrétiennes du roman sont pauvres et sèches
d’expression.
De même, ses Martyrs restent une œuvre indécise entre le
christianisme et le mensonge païen.
En dépit de ses insuffisances, Chateaubriand ouvrait au roman
chrétien d’étonnantes perspectives. Atala et les Martyrs, après le
Génie du Christianisme, déterminèrent puissamment cette
préoccupation religieuse qui ne sera presque jamais absente de la
littérature, au XIXe siècle. Mais, pour trouver ce qui s’appelle un
roman catholique, il faut dépasser les temps lamartiniens, Hugo et
Balzac lui-même ; il faut aller jusqu’à Barbey d’Aurevilly.
Le romantisme eut, d’abord, cette néfaste action de dissoudre en
vague sentimentalité l’élan spirituel. Le sujet de Jocelyn, qui est un
roman versifié, offrait la matière d’une profonde étude sur la vie
intérieure d’un prêtre. Or le livre se réduit à de verbeuses
descriptions, à des effusions lyriques. Sauf en deux ou trois
épisodes où se dessine le drame, la pensée du poète ne se
concentre pas vers le dedans des êtres. Les rapports d’une âme
sacerdotale avec le dogme et la discipline ecclésiastique sont à
peine indiqués. L’indigence de mysticisme est navrante dans cette
histoire d’un sublime renoncement.
N’en soyons point surpris ; l’écrivain jette en son œuvre ce qu’il
porte au fond de sa vie réelle. Comment exprimer l’ascétisme si l’on
n’a l’intelligence et le désir d’une règle ascétique ? Le prêtre de
Jocelyn, comme l’évêque des Misérables, est construit sur le modèle
du Vicaire Savoyard ; la seule excuse de Lamartine et de Hugo, c’est
qu’on rencontrait alors des prêtres et des évêques formés sur un tel
patron.
Balzac, avec sa pénétration réaliste du catholicisme en tant
qu’ordre social, a magnifiquement exprimé l’action de la foi sur les
mœurs, les générosités qu’elle suscite, le drame des antagonismes
qu’elle approfondit. Rappelez-vous simplement Mme de Mortsauf du
Lys dans la vallée, Mme Grandet et sa fille. Il a peint toute la
gradation des milieux ecclésiastiques, depuis le curé du village
jusqu’au prélat raffiné. On a pu extraire de la Comédie humaine un
ensemble de maximes que ne désavouerait pas le plus orthodoxe
apologiste ; c’est lui, dans La Cousine Bette, qui a dit de la Vierge
Marie : « Elle efface par sa grandeur tous les types hindous,
égyptiens, grecs. La Virginité, mère des grandes choses, tient dans
ses belles mains blanches la clef des mondes supérieurs. Enfin,
cette grandiose et terrible exception mérite tous les honneurs que lui
décerne l’Église. »
 Pourquoi cependant Balzac n’a-t-il pas donné un seul roman
qu’on puisse qualifier d’exclusivement catholique ? C’est qu’il mêlait
au dogme une philosophie confuse, idéaliste, panthéiste, avec un
amalgame de mysticisme svedenborgien. Un seul axiome soutient
l’énormité de son œuvre : « La nature est une et compacte. » Ce
qu’on nomme attractions et répulsions des choses, réalisé dans les
intelligences, devient l’amour et l’antipathie. Ce qui est, en nous, la
volonté est, dans la plante, odeur ou sève. Matière et pensée, à l’en
croire, seraient les deux modes d’une Puissance unique. Sa vision
du monde spirituel, des sphères angéliques, çà et là prodigieuse
dans Seraphita, est troublée par les baroques extravagances qui lui
viennent du protestant Svedenborg.
D’autre part, il brouillait la notion précise du surnaturel et le
surnaturalisme tel que l’entendra, d’après lui, Baudelaire, une
transposition, exaltée jusqu’au vertige, des sensations où les mots
se crispent impuissants à rendre l’ineffable :
« Il m’a souvent semblé, déclare Emilio, dans Massimilla Doni, au
sujet de la femme qu’il aime, que le tissu de sa peau empreignît des
fleurs sur la mienne quand sa main se pose sur ma main… L’air
devient alors rouge et pétille ; des parfums inconnus et d’une force
inexprimable détendent mes nerfs, des roses me tapissent les parois
de la tête, et il me semble que mon sang s’écoule par toutes mes
artères ouvertes, tant ma langueur est complète. »
Autrement exacte et sévère fut la conception de Barbey
d’Aurevilly. L’Ensorcelée, Un prêtre marié, les Diaboliques nous
offrent les premiers exemplaires de romans ou de nouvelles qui
procèdent du dogme, de la morale, de la tradition catholique et qui,
hors d’elle, seraient impossibles [108] .
[108] Il faudrait y ajouter L’Honnête femme, de Louis
Veuillot. Voir ce que j’en ai dit dans les Lettres de février
1927.

Un réalisme théologique soutient ici le jeu des passions.

 Supposons, dans l’Ensorcelée, la fiction dépouillée de l’élément
surnaturel. Il lui resterait un tragique de folie amoureuse, mêlé aux
réminiscences de la Chouannerie. Mais son aspect légendaire, son
grandiose s’évanouiraient. Le grandiose tient au souffle satanique
qu’on y respire ; et le satanisme fait la vérité profonde du récit.
L’Église, avec ses dogmes, amplifie au reste tout ce qu’elle
touche. Parce qu’elle est, comme le Christ, un signe de
contradiction, en dressant contre les appétits humains une digue,
elle les force à rebondir, torrent orageux, ou les sublimise par la
soumission imposée.
C’est ainsi que d’Aurevilly, dans Un prêtre marié, entoure d’une
grandeur inouïe la tendresse de Sombreval pour sa fille. Sombreval,
avant de se marier et d’avoir une fille, était un prêtre. Il a beau vivre
en mécréant ; le signe de l’onction demeure sur lui. Il ne peut dire :
Ma fille ! sans répéter un sacrilège ineffaçable devant Dieu et devant
les hommes. Dans le plus naturel et le plus noble des sentiments il
mange, il boit à toute heure sa réprobation.
On reprochera au romancier, sans doute, de se complaire dans
l’anormal. Cette critique ne serait point vaine. Le surnaturel, pour se
révéler, a-t-il besoin de péripéties et d’âmes extraordinaires ? Il
semble plus probant s’il s’insère dans la trame des faits quotidiens.
Mais d’Aurevilly aurait pu répondre que l’anormal est incessant.
Nous croisons des humains que des yeux superficiels déclarent
« quelconques » ; rien d’étrange au dehors ne signale leur vie. Si
nous en connaissions le fond, nous serions terrifiés de ce qu’elle
cache, ou parfois éblouis de leurs vertus ignorées.
D’Aurevilly sentait ce qui manquait, dans son œuvre, à une
synthèse du visible et de l’invisible. Des âmes existent, ailées,
radieuses, qu’un vent pur enlève, comme la colombe de l’arche, au-
dessus des cloaques ténébreux. Le conteur des Diaboliques rêvait
de leur donner un pendant : les Célestes. Faute de temps ou
d’inspiration il ne les a jamais esquissées. C’est qu’il est plus
accessible d’exprimer les passions mauvaises que la vertu. Celle-ci
paraît trop aisément conventionnelle, hors du possible.
 Au temps de Barbey d’Aurevilly, une mode pessimiste portait les
écrivains à faire leur pâture de l’horrible, du monstrueux, de tout ce
qui révolte une sensibilité moyenne.
Huysmans, avant sa conversion, par un sadisme morbide, se
divertira en évoquant les atrocités d’un Gilles de Rais. Là-bas
s’achève sur l’effroyable récit d’une Messe noire. Léon Bloy
transposera, dans le Désespéré, les souffrances de sa jeunesse,
exagérant au delà du vraisemblable les calamités qu’un artiste peut
appeler sur lui.
Le Désespéré n’est pas un roman, pas plus qu’En route de
Huysmans. Un roman, disait d’Aurevilly, c’est de l’histoire possible.
Quand les faits réels débordent sur la fiction ou paraissent l’exclure,
nous n’avons plus un roman, mais des confessions, des mémoires,
une autobiographie, avec ce que Bloy appelait « l’arrangement
littéraire », la liberté de modifier ou même de déformer l’histoire, en
vue d’un certain effet. Bloy, d’ailleurs, était trop lyrique, et, comme
Huysmans, trop préoccupé de lui-même, pour se mettre dans l’état
d’esprit propre au romancier.
S’il eut sur le roman quelque influence, ce fut par ricochet, en
tant qu’il secouait d’âpres invectives l’illusion païenne où
s’engourdissait, chez certains, la ferveur de la foi.
Au contraire, les livres de Ferdinand Fabre sont de vrais romans,
et catholiques de pensée, bien qu’il n’y ménage guère les milieux
cléricaux. Une scène comme les obsèques nocturnes de Mgr de
Roquebrun, dans l’Abbé Tigrane, exigeait, pour être conçue, un sens
rare du dramatique inhérent aux liturgies. On peut blâmer comme
outrée la fureur ambitieuse d’un Rufin Capdepont. Mais n’oublions
pas que ce roman se passe en un diocèse montagneux, dans un
vieux pays proche de l’Espagne, où les antagonismes devaient
s’exaspérer sans merci. L’auteur a moins cherché la stricte
vraisemblance que la vérité symbolique. Le Démon, au surplus,
quand il rôde autour d’une âme insensible aux convoitises
charnelles, n’a prise sur elle que par l’ambition, l’orgueil ou le
désespoir ; c’est lui qui trouble le terrible et grand Capdepont.
 Nulle intention d’apologiste ne s’ajoute à la peinture des mœurs ;
et pourtant une apologétique indirecte s’en dégage ; la force divine
de l’Église est avérée même dans les faiblesses de ceux qui la
représentent.
Avec Barbey d’Aurevilly et Ferdinand Fabre se définissait déjà ce
que j’appellerais le roman catholique intégral : regarder la vie d’aussi
près qu’on peut l’atteindre, mais en éclairer tous les aspects par
cette flamme mystérieuse qui vient des gouffres d’en haut ou d’en
bas.
Beaucoup d’œuvres modernes — et des plus importantes — sont
nées, d’autre part, dans un rythme catholique ; elles seraient
impossibles si l’auteur ne pensait en croyant. Paul Bourget,
confrontant avec son expérience les doctrines de l’Église, fut amené
à ce témoignage que ses livres, depuis le disciple, réitèrent
obstinément : l’ordre catholique est principe de vie ; tout ce qui lui est
contraire engendre le chaos, la mort. René Bazin a posé, dans la
Barrière, un duel de consciences autour de l’orthodoxie, parce que
lui-même attachait à sa foi un prix pathétique. Henry Bordeaux, dans
la Maison morte, aurait-il rendu avec une simple émotion la mort
pieuse d’une paysanne, s’il n’avait trouvé au fond de son cœur la
piété d’un tel spectacle ?
François Mauriac a beau déclarer : « Je ne suis pas un romancier
catholique ; je suis un catholique qui écrit des romans », sa
sensibilité, ses fictions, son goût même de l’amer péché, tout
suppose chez lui une vie intérieure catholique dont son art est
pénétré jusqu’aux fibres.
Mais, ce que je veux attester, c’est l’élargissement des horizons
romanesques par le surnaturalisme. Il me conviendrait mal d’aller
prendre dans mon œuvre des arguments. J’aime mieux évoquer
l’admirable scène du Sanguis martyrum de Louis Bertrand où les
mineurs chrétiens voient surgir près d’eux un prêtre inconnu qui leur
apporte sous terre le Pain céleste. Ici, le miraculeux se mêle comme
naturellement à l’humain de la vie ; il s’impose parce qu’il est désiré,
attendu ; il n’affirme pourtant pas : C’est moi. Qu’on se rappelle
aussi, dans le Vin de ta vigne (de Louis Artus) la très suave et
prophétique nouvelle : L’enfant qui n’allait pas à l’école.
Un roman paru l’an dernier, Un pénitent de Furnes, d’Henri
Davignon, peut expliquer d’une façon probante quel imprévu
poignant le symbole chrétien ajoute à une situation peu neuve en
soi. La femme de Réginald Camerlinghe l’a quitté ; il veut expier pour
elle son erreur ; d’autant plus qu’il n’est pas lui-même sans reproche.
Il suit, comme pénitent, la lourde croix sur l’épaule, à travers les rues
de Furnes, le cortège de la Kermesse qui représente la Passion.
Chaque épisode de la Kermesse, au lieu d’être devant ses yeux un
jeu pictural, retentit en son cœur ; il sent le poids de la Croix qu’il
soutient et sa vertu expiatrice. Quelle beauté, par exemple, en ce
détail très simple, agrandi jusqu’au symbole :
« Jésus se relève, réaccepte le fardeau, et repart de son pas
rapide, court et cadencé. Sa silhouette projetée sur le mur semble
vouloir emplir l’horizon. De la foule, une petite vieille se détache et
tend vers l’homme en sueur un verre d’eau claire. Il a fait non de la
tête, tout à sa tâche infinie ! »
Plus récemment encore qu’Henri Davignon, Georges Bernanos,
dans son roman étrange : Sous le Soleil de Satan, explore avec une
audace de visionnaire les profondeurs de l’invasion démoniaque.
Cette œuvre synthétise des qualités superbes : un réalisme fort et
condensé, n’ayant peur ni du laid, ni du cynique, parce que le laid et
le cynique, c’est le rire du Démon, sa revanche sur l’œuvre divine ;
une pénétration des âmes tranchante, subtile, amère ; l’intensité
continue, même excessive de l’hallucination ; une façon de peindre
où le dedans projette sur le dehors des lueurs transcendantes ; des
dialogues dont chaque mot enferme du silence.
La couleur de l’ensemble est, comme le fond de certaines toiles
espagnoles, furieusement sombre ; car le soleil de Satan, c’est la
nuit. L’histoire de la malheureuse fille que le démon pousse du
désordre au suicide est liée à celle de l’abbé Donissan par une
relation toute mystique. Le drame se concentre dans le cœur de ce
prêtre ascète, tourmenté par l’Esprit du mal. Le Démon lui apparaît
même — c’est l’épisode capital du roman, — et cette vision doit,
pour une haute part, sa puissance au réalisme qui en soutient la
terreur surnaturaliste. Le curé de Lumbres reçoit, plus tard, le don
des miracles ; un fermier, dont l’enfant vient de mourir, l’adjure de
ressusciter son enfant. Le prêtre croit entendre un ordre mystérieux
qui le contraint d’opérer cette résurrection. Il l’essaie, il voit le petit
mort soulever ses deux paupières ; mais le cadavre retombe. Un
éclat de rire retentit, celui de la mère qui l’a suivi à son insu ; l’abbé
reconnaît le rire de Satan ; il s’enfuit épouvanté. Après un tel
désastre, il n’a plus qu’à mourir.
Le point contestable du livre semble cette outrance de faits
désespérants. Certaines âmes saintes vivent, il est vrai, dans la plus
noire désolation, et cet état peut se prolonger des années. Elles ne
sont point tentées, malgré tout, au delà des forces humaines. Dieu
les soulage par d’inexprimables joies. Un prêtre, chaque matin,
quand il offre le Corps de son Dieu, est comblé d’une Présence où il
reçoit un avant-goût du Paradis. Mais l’abbé Donissan se méfie
même de ces consolations :
« J’ai haï le péché, se dit-il, puis la vie même, et ce que je sentais
d’ineffable dans les délices de l’oraison, c’était peut-être ce
désespoir qui me fondait dans le cœur. »
Satan, craint-il, « est dans le regard qui le brave, il est dans la
bouche qui le nie. Il est dans l’angoisse mystique, il est dans
l’assurance et la sérénité du sot… Prince du monde ! Prince du
monde ! »
Et il en vient à cette conclusion terrible :
« Nous sommes vaincus ! Vaincus ! Vaincus ! »
Assurément, il ne faudrait pas confondre une telle torture
mystique avec l’idée fixe, l’obsession maladive du Diable, qui va
souvent jusqu’à la folie (j’ai rencontré, à Sainte-Anne, une vieille
dame folle, convaincue qu’elle était Satan en personne). Mais l’abbé
Donissan me paraît un janséniste effréné, presque un manichéen.
Avouer le triomphe de Satan équivaut à désespérer de la
Miséricorde, et nous ne sommes pas très loin du péché contre
l’Esprit.
 Je crains que Georges Bernanos, soit par une violence
systématique de tempérament, soit par une recherche de l’effet, n’ait
dépassé toute mesure dans l’expression de la tristesse
spirituelle [109] .
[109] Il reconnaît lui-même que la douceur et la
confiance font défaut à l’abbé Donissan ; ce prêtre est un
saint manqué. Mais la grandeur anormale dont il l’investit
abuse le lecteur sur les limites du personnage.

Et nous touchons ici une des graves difficultés du roman

catholique. Il représente l’homme pécheur, il doit le représenter. Un
roman catholique ne doit jamais être un fade mensonge d’idylle.
Cette expression du désordre, si forte qu’elle soit, va-t-elle
néanmoins infliger aux âmes un accablement ? Je l’ai dit à propos
des passions amoureuses :
« La grande règle, pour l’artiste chrétien, est de ne rien peindre
qui laisse aux lecteurs l’impression dominante d’un trouble
séduisant, de restreindre les épisodes charnels, d’en faire sentir les
suites douloureuses, de présenter le péché comme le péché, la
honte comme la honte. »
Mais, quand le romancier approfondit un drame spirituel, la limite
est plus délicate à franchir, et le danger plus subtil. Il faut une nette
fermeté de sens théologique, la justesse prudente de l’analyse, par-
dessus tout, la bonhomie et la droiture de l’intuition.
Les possibilités du roman catholique sont immenses ; ses
difficultés les égalent. Qu’elles ne rebutent pas les jeunes écrivains.
Qu’ils expriment, dans son ampleur, le mystère joyeux comme le
mystère douloureux de la vie intérieure. Qu’ils gardent, devant elle,
une précieuse humilité. Seul la rendrait, avec sa plénitude, celui qui
en aurait toute l’expérience, c’est-à-dire un Saint. Mais les Saints ont
mieux à faire que des romans.
 LE SIÈCLE EUCHARISTIQUE

Dans quelques jours ; toutes les routes de la chrétienté

s’empliront des pèlerins qui vont au Congrès de Lourdes. Une année
de plus dresse les reposoirs de la procession universelle où sera
glorifié le Christ-Hostie. Aucun fait, depuis le commencement du
nouveau siècle, n’est plus imposant que ces vastes assemblées de
catholiques venus de pays sans nombre pour articuler ensemble un
acte d’adoration. Le moyen âge lui-même n’a jamais connu de telles
assises mystiques : on se rendait alors à Saint-Jacques de
Compostelle comme en un lieu qui détenait les restes corporels d’un
apôtre et la vertu sanctifiante de ses os. Ici, les attraits tangibles
deviennent secondaires : l’Eucharistie peut s’adorer dans un pauvre
ostensoir de village aussi bien que sous un dais escorté par cent
évêques. Ce serait puéril, pour expliquer l’affluence des fidèles, d’en
admettre seulement les causes extérieures, la force d’impulsion qui
sollicite les hommes vers tout point où de longues foules se dirigent,
l’attente de magnificences extraordinaires et d’unanimes émotions. Il
faut atteindre au fond des âmes et, plus encore, dans les volontés
conductrices de l’Esprit Saint, les raisons durables de ce
mouvement.
A mesure que la fin des temps approche, une partie du genre
humain s’endurcit davantage à nier sa Rédemption ; mais celle qui
reste croyante veut plus énergiquement proclamer sa foi. Le soir
tombe sur le monde ; la nuit commençante sera la nuit du dernier
exode. C’est l’heure où les fils d’Israël immolaient l’Agneau sans
tache. Nous aussi, nous savons qu’il faut marquer de son sang le
linteau de notre porte afin que l’archange justicier, s’il passe, ne
touche point nos têtes de son glaive. Comme eux, nous devons
manger la pâque, « tenant à la main le bâton » de l’imminent voyage
et « en hâte », avec la faim d’un grand désir.
 Plus l’Église voit sa mission terrestre près d’être achevée, plus
elle se retrempe en ses origines. Aux premiers siècles, la
communion quotidienne était si bien admise que les chrétiens se
communiaient eux-mêmes dans leurs maisons. Mais, bientôt [110] ,
un scrupule dont le moyen âge ne sut se libérer et qui opprime
toujours les schismatiques grecs, retint les laïques à une distance
respectueuse du Sacrement ; plus tard, en France du moins, les
controverses protestantes et le jansénisme attiédirent, chez la
masse de ceux qui communiaient à Pâques et aux fêtes solennelles,
toute fervente familiarité. L’expression traditionnelle, « s’approcher
des Sacrements », correspondait à cet état de méfiance rationaliste ;
on s’en approchait, on ne les mêlait pas à son être intime.
Aujourd’hui encore, les hommes de la génération antérieure à la
nôtre sont imbus d’un préjugé contre la communion fréquente.
Pourtant, sur ce point comme sur tant d’autres, le pontificat de Pie X
marque un retour à la profonde vie primitive. Si beaucoup de
catholiques ont suivi docilement ses inspirations, c’est qu’ils
comprennent le principe très simple jadis exposé par saint
Ambroise :
[110] Dès le IVe siècle et même avant, par une
répercussion de l’arianisme (d’après le rapport de dom J.
Chapman, de l’Ordre de Saint-Benoît, au Congrès
eucharistique de Westminster, en 1908).

« Puisque chaque fois que le Sang est versé, il est versé pour la
rémission des péchés, je dois le recevoir toujours, afin que mes
péchés soient toujours remis. Je pèche constamment ; je dois donc
constamment prendre le remède contre le péché… Si c’est notre
pain quotidien, pourquoi attendez-vous une année pour le recevoir,
comme le font les Grecs en Orient ? Recevez tous les jours ce qui
tous les jours vous est profitable. Celui qui ne mérite pas de
communier chaque jour ne mérite pas de communier une fois l’an. »
Il n’est point d’âme pour qui ne résonne incessamment le
précepte d’amour : Prenez et mangez. Mais, tandis que la multitude
des mécréants rejette en hochant la tête et souvent avec
d’immondes opprobres le Dieu qui ne se lasse pas de s’offrir à tous,
le reste du troupeau demeuré fidèle s’élance d’autant plus avide vers
la nourriture délectable. « Dilate ta bouche et je l’emplirai », disait le
Seigneur à son peuple par la voix du Psalmiste ; cette parole, d’une
insondable munificence, est entrée dans nos oreilles plus clairement
qu’en celles de nos ancêtres. Ce n’est pas que nous méritions mieux
les largesses divines ; mais elles se multiplient à la mesure de notre
indigence. Le viatique est pour les fragiles, les infirmes et les
moribonds. Or, le monde ressemble à un grand malade qui ne sait
plus de quel côté se retourner sur son lit. De quoi peut-il avoir
encore faim, sinon du Pain vital, promesse d’éternité ? « Il a donné
aux tristes la coupe de son Sang », chante une hymne de la Fête-
Dieu. Plus que jamais il faut aux chrétiens, pour n’être pas tristes,
« l’esprit de triomphe » qui les fait marcher avec sécurité, comme les
jeunes hommes dans la fournaise, au milieu des tentations et des
haines. D’où recevraient-ils cette allégresse, sinon en mêlant à leur
sang toute la substance du Fort des forts, du Dominateur dont le
royaume n’aura pas de fin ?
Tel est le sens des Congrès eucharistiques et surtout des
Congrès internationaux. Les pèlerins appartenant aux patries les
plus distantes et les plus hostiles ne s’y donnent point rendez-vous à
seule fin de démontrer que le catholicisme restaure la famille
humaine en son harmonie plénière par l’unanimité d’une foi supra-
terrestre. Leur concorde jubilante figure pour quelques jours la
communion des élus, l’état de gloire et d’adoration perpétuelle qui se
nomme le paradis. On dirait qu’alors, du Levant jusqu’au Ponant, les
blasphèmes se sont tus, les hérésies et les schismes sont morts,
que le puits de l’abîme est clos sur le dragon lié à jamais ; là, tous
sont en tous, étant tous en Dieu. C’est comme un après-midi d’été
vêtu d’une splendeur et d’une paix où rien ne semble plus pouvoir
changer. Si quelque chose peut donner une image des béatitudes,
n’est-ce pas l’instant d’une bénédiction solennelle, quand le prêtre
élève au-dessus de la foule le Saint Sacrement ?
Et même, les bienheureux qui voient la Face de Jésus-Christ ne
peuvent plus mériter comme nous, prosternés devant l’ostensoir.