Qu’est-ce que HSTS ?

Découvrez ce qu'est HSTS pour garantir des connexions sécurisées.

HSTS (Strict Transport Security)

HSTS (HTTP Strict Transport Security) est une instruction de sécurité qui permet aux sites web de demander aux navigateurs de communiquer exclusivement via HTTPS, garantissant ainsi une connexion cryptée et sécurisée. Cela permet de protéger les utilisateurs contre l’interception de données sensibles et les cyberattaques en empêchant le “détournement de cookies” et le “MitM”.

Copy to Clipboard

Max-age: cette valeur est obligatoire et indique le nombre de secondes pendant lesquelles le serveur doit être contacté exclusivement via HTTPS.

IncludeSubDomains: Ce champ est facultatif. S’il est défini, il spécifie que la politique HSTS doit également être appliquée à tous les sous-domaines.

En utilisant cette chaîne, chaque connexion au site (y compris les sous-domaines) doit se faire exclusivement via HTTPS. Dans notre cas, il s’agit de la directive “31536000 seconds”.

Les connexions HTTP ne seront plus autorisées, de sorte que si le navigateur reçoit une demande de chargement d’une ressource via HTTP, il devra automatiquement tenter de proposer une demande via HTTPS.

Si HTTPS n’est pas disponible, la connexion doit être interrompue.

HSTS et précharge

La valeur HSTS max-age (voir le code ci-dessus) est mise à jour chaque fois que le navigateur lit l’en-tête et sa valeur maximale est de deux ans ; ce scénario signifie que la protection de la navigation sera permanente tant qu’il ne s’écoulera pas plus de deux ans entre deux visites.

Un “préchargement HSTS” peut être utilisé pour accroître la protection du site web. Chromium maintient une base de données avec la liste des sites utilisant HSTS et cette liste sera distribuée avec les navigateurs. Dans ce cas, le navigateur vérifiera d’abord cette liste préchargée et n’autorisera pas les connexions via Http, même lors de la première demande de connexion.

Copy to Clipboard

Le préchargement HSTS est utilisé par Firefox, Opera, Safari et Edge. Pour inclure également votre site web, vous pouvez utiliser le lien suivant : https://hstspreload.org/.

Pour figurer sur cette liste, les conditions suivantes doivent être remplies :

  1. Certificat SSL/TLS valide .
  2. Redirigez tout le trafic vers HTTPS.
  3. Servez HSTS sur le domaine de base (anciennement‘screamingfrog.club‘).
  4. Gérer tous les sous-domaines représentés en HTTPS.
  5. Le délai fixé ne doit pas être inférieur à 1 an (31536000 secondes).
  6. La directive“includeSubdomains” doit être spécifiée.
  7. La directive“preload” doit être spécifiée.

Avantages du HSTS

> Étant donné que la réécriture de HTTP en HTTPS a lieu en interne sur le client, il y a plusieurs avantages clés par rapport à l’utilisation d’un simple réadressage HTTP – HTTPS sur l’ensemble du site.

  • Réduction des communications par le biais de protocoles non sécurisés.
  • Amélioration des performances, puisqu’une rotation est évitée chaque fois qu’un lien HTTP est rencontré.
  • Réduire la charge sur le serveur web. > Cependant, une redirection HTTP – HTTPS est toujours nécessaire sur l’ensemble du site. Étant donné que l’en-tête Strict-Transport-Security est ignoré sauf s’il est envoyé via HTTPS. Ainsi, si la première visite sur votre site n’a pas lieu via HTTPS, cette redirection initiale vers HTTPS est toujours nécessaire pour fournir l’en-tête Strict-Transport-Security, à moins que le site, comme mentionné ci-dessus, ne soit inclus dans le “Preload”.

Vérifier le SSST

Une fois la directive HSTS ajoutée, il est essentiel de vérifier sa présence.

Une première méthode de contrôle utilisée par les développeurs consiste à utiliser“Google Chrome Devtools” et à vérifier la présence de l’instruction dans l’onglet “réseau”, mais ce scénario doit être répété pour chaque page individuelle afin de vérifier qu’il n’y a pas d’incohérences et que la directive répond correctement sur chaque page.

La seconde est celle qui inclut Screaming Frog, qui me permet de vérifier la présence de HSTS sans effort et en quelques secondes. Les résultats de l’analyse sont disponibles dans l’onglet“Sécurité” de Seo Spider.

Analisi della direttiva HSTS con Screaming Frog
Seo Spider Tab