Fonctionnalité HSTS
LapinFou Membre non connecté
Booster Minigun
- Booster Minigun
- Voir le profil du membre LapinFou
- Inscrit le : 18/06/2019
- Site internet
- Groupes :
Suite à la dernière modification de Janus (encore un grand merci à lui. Le ticket est #1915), mon site est parfaitement opérationnel en HTTPS et les redirections fonctionnent comme elle le doivent.
Maintenant la grande question: le HSTS késako ?
Je n'ai pas trouvé d'information à ce sujet. Est-ce recommandé de l'activer sur un site HTTPS ?
Ce serait génial si je pouvais avoir un peu plus d'informations à ce sujet.
Cordialement,
Seb
Édité par LapinFou Le 05/10/2019 à 15h27
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
HTTP Strict Transport Security (HSTS) est un mécanisme qui permet de dire au navigateur "toi le client, tu va devoir me visiter seulement en HTTPS et rien d'autre, sinon tu as pas le droit de m'afficher" (pour faire simple).
Ce qui va entrainer 2 choses :
<ol class="formatter-ol">
<li class="formatter-li">Si le visiteur viens sur le site (pour la seconde fois, car si il vient pas première fois le serveur lui aura pas dit ce site == HSTS activé == https uniquement) avec un lien HTTP il va passer automatiquement en HTTPS sans qu'une redirection soit faite au niveau du serveur (c'est le navigateur qui gère car il a gardé en mémoire que le HSTS a été activé pour ce site/domaine)
</li><li class="formatter-li">Si pour une raison X ou Y le site n'a plus de certificat (expiré/invalide/révoqué) valide alors le navigateur bloque l'accès car c'est contraire a la directive HSTS
</li></ol>
Cette technique a le gros avantage d'empêcher le MITM (Man In The Middle), mais le revers est que si il n'y a plus de certificat valide les visiteur sont bloqué (sauf à désactiver HSTS, attendre la fin du temps donnée (normalement il est recommandé de mettre une durée de 1an, donc visite du site impossible pendant 1an si pas de certificat) ou visiter le site avec un autre navigateur ou le site n'a jamais été visité dessus).
Normalement c'est recommandé par "l'<a href="https://observatory.mozilla.org/">Observatory de Mozilla</a>" ou "<a href="https://www.ssllabs.com/ssltest/">SSL Labs</a>" tout comme le fait de désactiver SSL v3 / TLS1.0 et TLS 1.1 (par exemple l'ANSSI recommande uniquement TLS 1.2 si cela est possible).
Cordialement, janus57
LapinFou Membre non connecté
Booster Minigun
- Booster Minigun
- Voir le profil du membre LapinFou
- Inscrit le : 18/06/2019
- Site internet
- Groupes :
Je te remercie pour ces explications très claires.
Je viens d'activer le HSTS et tout fonctionne. Mon hébergeur est phpnet, donc ce sont eux qui gèrent automatiquement la partie SSL.
Je ne devrais pas être embêté.
Encore merci pour votre superbe boulot !!
Seb
PS: J'avais complètement zappé que je n'avais pas encore fait de don. C'est chose faite à l'instant !
Édité par LapinFou Le 05/10/2019 à 17h10
LapinFou Membre non connecté
Booster Minigun
- Booster Minigun
- Voir le profil du membre LapinFou
- Inscrit le : 18/06/2019
- Site internet
- Groupes :
C'est pas bien grave, mais je suis étonné.
https://observatory.mozilla.org/analyze/opentx-doc.fr
Alors que le site PHPBoost, qui doit probablement utiliser le même CMS, est lui reconnu avec le grade B:
https://observatory.mozilla.org/analyze/phpboost.com
Seb
Édité par LapinFou Le 05/10/2019 à 17h09
janus57 Membre non connecté
- Booster Fusée
- Voir le profil du membre janus57
- Inscrit le : 07/12/2007
- Groupes :
- Equipe Assistance
Attention la note est donnée en fonction de la configuration du site et du serveur.
Par exemple les tests "Subresource Integrity" / "X-Content-Type-Options" / "X-Frame-Options" / "X-XSS-Protection" c'est de la configuration serveur, qui normalement est activé par le .htaccess que génère PHPBoost à condition que derrière l'hébergeur l'accepte (ou que les équipements intermédiaire de l'hébergeur ont été configuré pour).
Et dans votre cas le test "Cookies" est faussé car phpnet rajoute un cookie (à priori un cookie pour un load balancer).
Cordialement, janus57
LapinFou Membre non connecté
Booster Minigun
- Booster Minigun
- Voir le profil du membre LapinFou
- Inscrit le : 18/06/2019
- Site internet
- Groupes :
Avez-vous bien reçu mon don ?
Seb
j1.seth Membre non connecté
- Administrateur
- Voir le profil du membre j1.seth
- Inscrit le : 01/09/2008
- Site internet
- Groupes :
- Chef de Projet
- Equipe Développement
Le don a bien été reçu merci
Heureux d'apprendre que tes problèmes sont réglés.
j1.seth
LapinFou Membre non connecté
Booster Minigun
- Booster Minigun
- Voir le profil du membre LapinFou
- Inscrit le : 18/06/2019
- Site internet
- Groupes :
Cela doit représenter un boulot de dingue !
Seb
Édité par LapinFou Le 06/10/2019 à 12h25
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie