Cette recette simplifie la configuration et le déploiement de l'en-têet de sécurité HTTP Strict Transport Security (HSTS) sur votre site web. HSTS est une fonctionnalité de sécurité cruciale qui indique aux navigateurs de ne se connecter à votre site que par le biais de connexions sécurisées et cryptées. En installant cette recette, les responsables de sites web peuvent améliorer la sécurité de leur site, se protéger contre certains types de cyberattaques et établir une présence en ligne plus digne de confiance.
Si votre site web est accessible via HTTPS (ce qui devrait évidemment être le cass), l'activation du HSTS indique aux navigateurs de toujours utiliser le protocole HTTPS, et empêche l'utilisation du protocole HTTP simple, même si un utilisateur clique sur un lien HTTP. En d'autres termes, HSTS est une excellente fonctionnalité de sécurité qui garantit que vos visiteurs ne communiqueront pas avec votre site web en utilisant un protocole non sécurisé.
Pourquoi installer HSTS sur votre site web ?
En fait, HSTS devrait être activé sur tous les sites qui disposent d'un certificat SSL ! HSTS propose de nombreux avantages:
- Sécurité renforcée : HSTS garantit que toutes les communications entre le navigateur de l'utilisateur et le site web s'effectuent via des connexions HTTPS sécurisées, ce qui réduit le risque d'attaques de type "man-in-the-middle".
- Amélioration de la confiance : En imposant des connexions sécurisées, HSTS renforce la confiance des visiteurs, leur garantissant que leurs interactions avec le site web sont protégées contre d'éventuelles menaces de sécurité.
- Avantages pour le référencement : Google et d'autres moteurs de recherche accordent la priorité aux sites web sécurisés. La mise en œuvre de HSTS peut avoir un impact positif sur le classement des moteurs de recherche, contribuant ainsi à améliorer la visibilité et la crédibilité.
Comment est-ce que cela fonctionne ?
L'utilisation de cette recette offre un moyen simple de configurer et de déployer HSTS sur votre site web. La recette crée une règle redirection.io qui définit l'en-tête Strict-Transport-Security, qui est envoyé au navigateur de l'utilisateur. Cet en-tête demande au navigateur de n'accéder au site web que par des connexions HTTPS sécurisées pendant la durée spécifiée.
La recette fournit également l'option d'ajouter votre domaine à la liste de préchargement HSTS, ce qui garantit que les navigateurs appliquent automatiquement HSTS sans les visites initiales.
Facilité de configuration : l'utilisation de cette recette simplifie le processus de configuration de l'en-tête Strict-Transport-Security, permettant aux utilisateurs de définir des paramètres tels que la valeur "max-age".
Conformité du navigateur : une fois configuré, l'en-tête HSTS est envoyé au navigateur de l'utilisateur, lui demandant de n'accéder au site web que par le biais de connexions HTTPS sécurisées pendant la durée spécifiée.
Inclusion dans la liste de préchargement : les utilisateurs ont la possibilité d'ajouter leur domaine à la liste de préchargement HSTS, ce qui garantit que les navigateurs appliquent automatiquement HSTS sans les visites initiales, renforçant ainsi la sécurité.
Meilleures pratiques
Voici quelques bonnes pratiques à respecter au moment de la mise en place de HSTS sur votre site :
- Définissez un
max-ageapproprié : Choisissez une valeur "max-age" raisonnable en fonction des besoins de votre site web. Cette valeur détermine la durée pendant laquelle les navigateurs appliqueront HSTS. Envisagez une valeur d'au moins un an ou plus. Si vous ajoutez HSTS à un site web existant, envisagez une durée plus courte pour éviter les problèmes potentiels, et augmentez progressivement cette valeur au fil du temps. - Incluez les sous-domaines (facultatif) : Si votre site web utilise des sous-domaines, décidez de les inclure ou non dans la politique HSTS. Cela permet de garantir un niveau de sécurité cohérent pour tous les sous-domaines. Un point d'attention toutefois : l'inclusion des sous-domaines empêche l'accès à tous les sous-domaines qui utilisent des connexions HTTP ou des certificats non valides ! Si une application interne utilise un certificat auto-signé, elle deviendra inaccessible.
- Ajoutez votre site à la liste de préchargement HSTS (facultatif) : L'ajout de votre domaine à la liste de préchargement HSTS est recommandé pour une sécurité à long terme. Cette liste est utilisée par les navigateurs pour appliquer automatiquement HSTS, même lors de la première visite. Cependant, ce processus est difficile à annuler et peut causer des problèmes s'il n'est pas effectué correctement. Assurez-vous que votre site web et tous ses sous-domaines (y compris les sous-domaines à usage interne uniquement) sont entièrement conformes à HSTS avant de l'ajouter à la liste de préchargement.
En savoir plus sur HSTS
Comment installer cette recette sur mon site ?
Pour installer cette recette sur votre site web, suivez les étapes suivantes :
- Définir la valeur de
Max-Age: dans le formulaire d'installation, spécifiez la valeurmax-agesouhaitée, ce qui détermine la durée pendant laquelle les navigateurs doivent appliquer HSTS. - Activer l'inclusion des sous-domaines (facultatif) : indiquez si vous souhaitez inclure les sous-domaines dans la politique HSTS, afin de garantir une norme de sécurité uniforme pour tous vos sous-domaines.
- Ajouter à la liste de préchargement (facultatif) : choisissez d'ajouter votre domaine à la liste de préchargement HSTS, ce qui permet aux navigateurs d'appliquer HSTS sans visite préalable.
- Cliquez sur le bouton "Installer sur mon site web" : ceci créera une règle redirection.io en mode "brouillon".
- Vérifiez la règle et publiez-la : si nécessaire, vous pouvez modifier la règle avant de la publier sur votre site web.
La recette "HSTS - HTTP Strict Transport Security" garantit une présence sur le web plus sûre et plus fiable avec un minimum d'efforts.
