Pour le mois national de sensibilisation à la cybersécurité, Google indique vouloir entrer tout de suite dans le vif du sujet avec HSTS (HTTP Strict Transport Security).
Ce mécanisme permet à un serveur web d’émettre une directive aux navigateurs web, qui auront alors l’obligation de n’établir que des connexions HTTPS (avec chiffrement), sans tenir compte du moindre appel à des ressources qui seraient encore en HTTP classique.
Google recommande donc aux administrateurs de se rendre sur le site dévolu à la liste de préchargement HSTS (intégrée dans Chrome et la plupart des navigateurs).
Il faut bien sûr qu’un site remplisse certaines conditions : un certificat SSL valide, toujours redirigé vers le HTTPS, y compris pour les sous-domaines, et bien sûr émettre un en-tête HSTS pour les requêtes HTTPS.
Google ajoute que certains domaines de premier niveau (notamment .app, .dev et .page) sont déjà sur la liste de préchargement et recommande donc, en cas de nouveau site, de s’en servir.
Commentaires (4)
#1
C’est mignon le pré-chargement HSTS, mais ça nécessite un serveur web à l’apex du domaine. (Une tendance qui se généralise d’ailleurs, voir WKS ou MTA-STS)
Du coup, c’est niet. Qu’ils développent le support de DANE dans leurs machins plutôt que de vouloir me faire mettre des serveurs Web là où je ne veux pas en mettre
😒
#2
#3
l’apex, c’est le sommet d’une zone (là où il y a les enregistrements NS et SOA. Si on prend www.nextinpact.com, l’apex est nextinpact.com)
#4
Le nom de domaine quoi…