diff --git a/documentation/installation-idp-authentic.md b/documentation/installation-idp-authentic.md
index 1e862ca..bad9798 100644
--- a/documentation/installation-idp-authentic.md
+++ b/documentation/installation-idp-authentic.md
@@ -116,6 +116,13 @@ export EDUGAIN_SCHAC_HOME_ORGANIZATION_TYPE="urn:schac:homeOrganizationType:int:
 
 # Local port for listening -- NE PAS MODIFIER
 export BIND='127.0.0.1:8080'
+
+# Utiliser TLS pour communiquer avec le serveur LDAP, 0 pour désactiver, 1 pour
+# activer, vous devez au préalable vous assurez que le certificat de votre
+# serveur LDAP sera reconnu, par exemple en le déclarant dans
+# /etc/ldap/ldap.conf avec la ligne
+# TLS_CAPATH /chemin/du/certificat_ou_du_certificat_racine
+export USE_TLS=0
 ```
 
 Le reste de la configuration d'Authentic, automatiquement modifiée par le
@@ -154,16 +161,20 @@ Une fois ces fichiers mis en place, il faut relancer le service:
 Connexion au serveur LDAP en SSL/TLS
 ------------------------------------
 
-Authentic se connecte au serveur LDAP en TLS.
+Pour demander à Authentic se connecte au serveur LDAP en TLS vous pouvez soit
+utiliser une URL de LDAP ayant comme mécanisme `ldaps://` ou bien définir
+`USE_TLS` à 1 dans le fichier `/etc/authentic2/supann.conf` pour utiliser la
+commande `STARTLS` sur une connexion LDAP en clair.
 
 **Attention, le certificat du serveur LDAP doit être valide.** Si ce n'est pas
 le cas (par exemple lors de tests) vous devez modifier la configuration du
 client LDAP du système et lui dire de toujours accepter les certificat. Pour
 ce faire, ajouter la ligne suivante dans `/etc/ldap/ldap.conf`:
 
-	TLS_REQCERT allow
+	TLS_REQCERT never
 
-Au final, le fichier `/etc/ldap/ldap.conf` doit ressembler à cela :
+Pour activer la validation d'un certificat valide au final, le fichier
+`/etc/ldap/ldap.conf` doit ressembler à cela (en changeant le chemin vers le certificat):
 
 ```
 # cat /etc/ldap/ldap.conf 
@@ -175,10 +186,12 @@ Au final, le fichier `/etc/ldap/ldap.conf` doit ressembler à cela :
 # This file should be world readable but not world writable.
 
 # TLS certificates (needed for GnuTLS)
-TLS_CACERT      /etc/ssl/certs/ca-certificates.crt
-TLS_REQCERT allow
+TLS_CACERT      /chemin/du/certificat/ldap.pem
+TLS_REQCERT     hard
 ```
 
+Le fichier de certificat doit être lisible par l'utilisateur authentic.
+
 
 Configuration d'Apache pour exposer Authentic
 =============================================