Forum

Bonjour à tous,

Suite à la dernière modification de Janus (encore un grand merci à lui. Le ticket est #1915), mon site est parfaitement opérationnel en HTTPS et les redirections fonctionnent comme elle le doivent.

Maintenant la grande question: le HSTS késako ?
Je n'ai pas trouvé d'information à ce sujet. Est-ce recommandé de l'activer sur un site HTTPS ?
Ce serait génial si je pouvais avoir un peu plus d'informations à ce sujet.

Cordialement,
Seb

Édité par LapinFou Le 05/10/2019 à 15h27

Bonjour,

HTTP Strict Transport Security (HSTS) est un mécanisme qui permet de dire au navigateur "toi le client, tu va devoir me visiter seulement en HTTPS et rien d'autre, sinon tu as pas le droit de m'afficher" (pour faire simple).

Ce qui va entrainer 2 choses :
<ol class="formatter-ol">
<li class="formatter-li">Si le visiteur viens sur le site (pour la seconde fois, car si il vient pas première fois le serveur lui aura pas dit ce site == HSTS activé == https uniquement) avec un lien HTTP il va passer automatiquement en HTTPS sans qu'une redirection soit faite au niveau du serveur (c'est le navigateur qui gère car il a gardé en mémoire que le HSTS a été activé pour ce site/domaine)
</li><li class="formatter-li">Si pour une raison X ou Y le site n'a plus de certificat (expiré/invalide/révoqué) valide alors le navigateur bloque l'accès car c'est contraire a la directive HSTS
</li></ol>

Cette technique a le gros avantage d'empêcher le MITM (Man In The Middle), mais le revers est que si il n'y a plus de certificat valide les visiteur sont bloqué (sauf à désactiver HSTS, attendre la fin du temps donnée (normalement il est recommandé de mettre une durée de 1an, donc visite du site impossible pendant 1an si pas de certificat) ou visiter le site avec un autre navigateur ou le site n'a jamais été visité dessus).

Normalement c'est recommandé par "l'<a href="https://observatory.mozilla.org/">Observatory de Mozilla</a>" ou "<a href="https://www.ssllabs.com/ssltest/">SSL Labs</a>" tout comme le fait de désactiver SSL v3 / TLS1.0 et TLS 1.1 (par exemple l'ANSSI recommande uniquement TLS 1.2 si cela est possible).

Cordialement, janus57

Bonjour janus57,

Je te remercie pour ces explications très claires.
Je viens d'activer le HSTS et tout fonctionne. Mon hébergeur est phpnet, donc ce sont eux qui gèrent automatiquement la partie SSL.
Je ne devrais pas être embêté.

Encore merci pour votre superbe boulot !!

Seb

PS: J'avais complètement zappé que je n'avais pas encore fait de don. C'est chose faite à l'instant !

Édité par LapinFou Le 05/10/2019 à 17h10

C'est marrant, malgré l'activation du HSTS, mon site est toujours déclaré "Grade F".
C'est pas bien grave, mais je suis étonné.
https://observatory.mozilla.org/analyze/opentx-doc.fr

Alors que le site PHPBoost, qui doit probablement utiliser le même CMS, est lui reconnu avec le grade B:
https://observatory.mozilla.org/analyze/phpboost.com

Seb

Édité par LapinFou Le 05/10/2019 à 17h09

Bonjour,

Attention la note est donnée en fonction de la configuration du site et du serveur.

Par exemple les tests "Subresource Integrity" / "X-Content-Type-Options" / "X-Frame-Options" / "X-XSS-Protection" c'est de la configuration serveur, qui normalement est activé par le .htaccess que génère PHPBoost à condition que derrière l'hébergeur l'accepte (ou que les équipements intermédiaire de l'hébergeur ont été configuré pour).

Et dans votre cas le test "Cookies" est faussé car phpnet rajoute un cookie (à priori un cookie pour un load balancer).

Cordialement, janus57

Merci pour le complément d'infos.

Avez-vous bien reçu mon don ?

Seb

Bonjour,

Le don a bien été reçu merci
Heureux d'apprendre que tes problèmes sont réglés.

j1.seth

Merci à vous pour ce superbe CMS !
Cela doit représenter un boulot de dingue !

Seb

Édité par LapinFou Le 06/10/2019 à 12h25