Google pousse à l’utilisation du HSTS pour les serveurs web
Le 02 octobre 2019 à 09h39
1 min
Internet
Internet
Pour le mois national de sensibilisation à la cybersécurité, Google indique vouloir entrer tout de suite dans le vif du sujet avec HSTS (HTTP Strict Transport Security).
Ce mécanisme permet à un serveur web d’émettre une directive aux navigateurs web, qui auront alors l’obligation de n’établir que des connexions HTTPS (avec chiffrement), sans tenir compte du moindre appel à des ressources qui seraient encore en HTTP classique.
Google recommande donc aux administrateurs de se rendre sur le site dévolu à la liste de préchargement HSTS (intégrée dans Chrome et la plupart des navigateurs).
Il faut bien sûr qu’un site remplisse certaines conditions : un certificat SSL valide, toujours redirigé vers le HTTPS, y compris pour les sous-domaines, et bien sûr émettre un en-tête HSTS pour les requêtes HTTPS.
Google ajoute que certains domaines de premier niveau (notamment .app, .dev et .page) sont déjà sur la liste de préchargement et recommande donc, en cas de nouveau site, de s’en servir.
Le 02 octobre 2019 à 09h39
Commentaires (4)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 02/10/2019 à 13h35
C’est mignon le pré-chargement HSTS, mais ça nécessite un serveur web à l’apex du domaine. (Une tendance qui se généralise d’ailleurs, voir WKS ou MTA-STS)
Du coup, c’est niet. Qu’ils développent le support de DANE dans leurs machins plutôt que de vouloir me faire mettre des serveurs Web là où je ne veux pas en mettre
😒
Le 02/10/2019 à 17h01
Le 02/10/2019 à 17h05
l’apex, c’est le sommet d’une zone (là où il y a les enregistrements NS et SOA. Si on prend www.nextinpact.com, l’apex est nextinpact.com)
Le 03/10/2019 à 12h07
Le nom de domaine quoi…