Pour le mois national de sensibilisation à la cybersécurité, Google indique vouloir entrer tout de suite dans le vif du sujet avec HSTS (HTTP Strict Transport Security).

Ce mécanisme permet à un serveur web d’émettre une directive aux navigateurs web, qui auront alors l’obligation de n’établir que des connexions HTTPS (avec chiffrement), sans tenir compte du moindre appel à des ressources qui seraient encore en HTTP classique.

Google recommande donc aux administrateurs de se rendre sur le site dévolu à la liste de préchargement HSTS (intégrée dans Chrome et la plupart des navigateurs).

Il faut bien sûr qu’un site remplisse certaines conditions : un certificat SSL valide, toujours redirigé vers le HTTPS, y compris pour les sous-domaines, et bien sûr émettre un en-tête HSTS pour les requêtes HTTPS.

Google ajoute que certains domaines de premier niveau (notamment .app, .dev et .page) sont déjà sur la liste de préchargement et recommande donc, en cas de nouveau site, de s’en servir.