Notes d'étude
HSTS (Strict-Transport-Security) — mon résumé
en-tête hsts · strict transport security · forcer https hsts en ligne
Ce que fait l'en-tête Strict-Transport-Security, max-age, et comment vérifier HSTS avec un vérificateur d'en-têtes HTTP.
HSTS dit au navigateur « uniquement HTTPS pour cet hôte pendant N secondes ». Aide contre les attaques de type sslstrip lors de la première visite si c'est bien configuré.
Il faut que HTTPS fonctionne AVANT d'activer un long max-age. Notre slide disait de commencer petit comme max-age=300 pour les tests.
La vérification « en-tête hsts » dans un outil montre si l'en-tête est présent et les indicateurs preload parfois.
La liste preload est séparée — soumettre un domaine est un engagement sérieux. On ne l'a pas fait sur un sous-domaine gratuit.
Si HSTS est actif et que le certificat casse, les utilisateurs ne peuvent pas cliquer facilement — corrigez le certificat d'abord, ensuite HSTS. Appris lors d'une erreur de démo.