En-tête HSTS avec Nginx sur Managed Flex Server

Qu'est-ce que le HSTS?

HTTP Strict Transport Security (HSTS) est un mécanisme de sécurité pour les connexions HTTPS.

Si le HSTS est activé, le serveur Web envoie un en-tête supplémentaire (Strict Transport Security) pour les connexions HTTPS avec l'information que la page demandée ne doit être accessible que via une connexion cryptée pendant un certain temps.

Comment activer le HSTS?

L'en-tête du HSTS peut être activé dans le Control Panel. Ouvrez votre serveur et passez aux "pages Web" à gauche. Sur la page Web où vous voulez activer l'en-tête du HSTS, cliquez sur "Modifier" et faites défiler jusqu'à "Cryptage SSL". Notez que cette option n'est visible que si le site utilise Nginx. Ici, vous pouvez activer et configurer le HSTS.

 HSTS FR

Si un navigateur voit cet en-tête d'un site Web HTTPS, il sait que ce domaine n'est accessible que via HTTPS (SSL ou TLS). Il refusera alors l'accès non crypté. Le navigateur stocke ces informations pendant la durée spécifiée dans "max-age". Il est donc important que vous vous assuriez que votre site Web et tous les sous-domaines sont entièrement accessibles via HTTPS et que tout le contenu est exclusivement référencé via HTTPS avant d'activer le HSTS.

C'est une bonne pratique d'activer d'abord le HSTS seulement pour de très courtes périodes de temps et de les prolonger graduellement. Par exemple, commencez par 5 minutes (300 secondes) et testez votre site Web en profondeur. Ensuite, augmentez pas à pas la valeur de "max-age" à une heure (3600), un jour (86400), une semaine (604800) comme vous vous sentez confiant. Il est recommandé de régler la valeur pour "max-age" à plus de 120 jours (10368000), idéalement un an (31536000).
Les sites Web devraient viser à utiliser le "max-age" maximum afin d'assurer une sécurité accrue pour le domaine actuel à long terme.

Si cette valeur est réglée sur 0 seconde, les informations HSTS correspondantes seront supprimées. Attendre au moins la valeur entrée précédemment. Par exemple, si vous réglez 10368000 secondes (120 jours), vous devez attendre au moins 120 jours jusqu'à ce que l'information précédente du STEH soit supprimée de façon sécuritaire de tous les navigateurs.

Inclure Sous-domaines

En activant l'argument includeSubdomains, les paramètres HSTS s'appliquent à tous les sous-domaines. Si vous supprimez cette option, HTTPS n'est nécessaire que pour le domaine.

Précharge

Le terme "Préchargement du HSTS" est utilisé pour décrire le processus consistant à fournir aux navigateurs une liste prédéfinie d'informations sur le HSTS pour divers sites Web du site du fabricant. Ainsi, le navigateur sait avant la première visite d'une page protégée qu'il ne doit la contacter que via une connexion cryptée. En activant l'argument de préchargement, un fournisseur de listes de préchargement HSTS peut vérifier si votre domaine peut être placé sur la liste de préchargement et si vous, en tant que propriétaire de ce domaine, êtes d'accord avec elle.

Vos paramètres peuvent être vérifiés sur le site Web suivant : https://hstspreload.org
Cette liste est créée par le Chromium Project et est utilisée par Chrome, Firefox et Safari. Ces pages ne dépendent pas de la création ou non d'en-têtes de réponse au HSTS pour l'application de la politique. Au lieu de cela, le navigateur sait déjà que le nom de domaine seul nécessite HTTPS et exécute HSTS avant que toute connexion ou communication soit établie.

 

Avez-vous trouvé ce que vous cherchiez?

Nos professionnels de l’assistance se feront un plaisir de vous aider personnellement!

 

© 2001 - Hostpoint AG