Cloudflare prend en charge le protocole HSTS (HTTP Strict Transport Security) afin de sécuriser votre serveur Web HTTPS contre les attaques par rétrogradation de type interception (Man-in-the-middle), telles que les attaques par suppression SSL.
Présentation
HSTS est une technologie de sécurité Web qui sécurise les serveurs Web HTTPS contre les attaques par rétrogradation. Les attaques par rétrogradation (également appelées attaques par suppression SSL) constituent une forme d’attaque par interception dans laquelle un attaquant redirige les navigateurs Web d’un serveur Web HTTPS correctement configuré, vers un serveur malveillant.
HSTS consiste en un en-tête HTTP avec plusieurs paramètres qui dirigent les navigateurs Web compatibles pour :
- transformer tous les liens HTTP en liens HTTPS ;
- redéfinir tous les avertissements SSL du navigateur en erreurs qui ne peuvent pas être contournées pour afficher le site Web.
Reportez-vous aux conditions préalables avant d’activer HSTS.
Conditions préalables
L’activation de HSTS (HTTP Strict Transport Security) améliore la sécurité de votre site Web. Cependant, il est important de garder ceci à l’esprit :
- Activez HTTPS avant que HSTS ou les navigateurs ne puissent pas accepter vos paramètres HSTS.
- Une fois que HSTS est activé, HTTPS doit rester activé sinon les visiteurs ne pourront pas accéder à votre site.
Activer HSTS
Pour activer HSTS :
1. Connectez-vous au tableau de bord Cloudflare.
2. Sélectionnez le compte Cloudflare concerné pour le domaine nécessitant HSTS.
3. Assurez-vous que le bon domaine soit sélectionné.
4. Cliquez sur l’application SSL/TLS de Cloudflare.
5. Cliquez sur Activer HSTS dans la section HSTS (HTTP Strict Transport Security).
6. Une fenêtre de confirmation s’affiche. Vérifiez le contenu de l’avertissement.
7. Pour continuer, cliquez sur J’ai compris.
8. Cliquez sur Suivant.
9. Configurez les paramètres HSTS de votre domaine. Au minimum, configurez l’en-tête max-age afin d’activer HSTS :
Nom du paramètre | Description | Options |
Activer HSTS (Strict-Transport-Security) | Sert les en-têtes HSTS aux navigateurs pour toutes les requêtes HTTPS. | Off / On |
En-tête max-age | Spécifie la durée pendant laquelle un navigateur applique la stratégie HSTS et requiert que HTTPS soit configuré correctement pour votre site Web. | Désactiver, ou une plage de 1 à 12 mois |
Appliquer la stratégie HSTS aux sous-domaines (includeSubDomains) | Applique la stratégie HSTS d’un domaine parent (exemple.com) aux sous-domaines (www.developpement.exemple.com ou api.exemple.com). | Off / On |
Préchargement | Permet aux navigateurs de précharger automatiquement la configuration HSTS. Empêche un pirate de rétrograder une première requête de formulaire de HTTPS vers HTTP. Sans préchargement, HSTS n’est défini qu’après une demande HTTPS réussie initiale. | Off / On |
En-tête nosniff | Envoie l’en-tête nosniff de X-Content-Type-Options: pour empêcher les navigateurs Internet Explorer et Chrome de détecter automatiquement un type de contenu autre que celui spécifié explicitement par l’en-tête Content-Type. | Off / On |
10. Cliquez sur Enregistrer.
Si votre serveur Web d’origine ne dispose pas d’un certificat SSL valide fourni par une autorité de certification, évitez les actions suivantes :
- Définir l’icône de nuage en gris sur le domaine via l’application DNS de Cloudflare.
- Mettre en pause Cloudflare service via l’application Overview de Cloudflare.
- Faire pointer les serveurs de noms ailleurs que vers Cloudflare.
Voici quelques actions supplémentaires à éviter :
- Rediriger HTTPS vers HTTP
- Charger un certificat SSL personnalisé mal configuré qui contient :
- des certificats SSL non valides ;
- des certificats expirés ;
- des noms d’hôtes incompatibles.
Désactiver HSTS
Suivez la procédure ci-dessous pour désactiver HTTPS sur votre domaine :
1. Connectez-vous au tableau de bord Cloudflare.
2. Sélectionnez le compte Cloudflare concerné pour le domaine ne nécessitant plus HSTS.
3. Assurez-vous que le bon domaine soit sélectionné.
4. Cliquez sur l’application SSL/TLS de Cloudflare.
5. Cliquez sur Activer HSTS dans la section HSTS (HTTP Strict Transport Security).
6. Une fenêtre de confirmation s’affiche. Vérifiez le contenu de l’avertissement.
7. Cliquez sur J’ai compris.
8. Cliquez sur Suivant.
10. Définissez l’en-tête max-age sur 0 (désactiver)
Ressources associées
Appliquer la stratégie Web avec HSTS