Comprendre HSTS (HTTP Strict Transport Security)

Cloudflare prend en charge le protocole HSTS (HTTP Strict Transport Security) afin de sécuriser votre serveur Web HTTPS contre les attaques par rétrogradation de type interception (Man-in-the-middle), telles que les attaques par suppression SSL.


Présentation

HSTS est une technologie de sécurité Web qui sécurise les serveurs Web HTTPS contre les attaques par rétrogradation. Les attaques par rétrogradation (également appelées attaques par suppression SSL) constituent une forme d’attaque par interception dans laquelle un attaquant redirige les navigateurs Web d’un serveur Web HTTPS correctement configuré, vers un serveur malveillant.

HSTS consiste en un en-tête HTTP avec plusieurs paramètres qui dirigent les navigateurs Web compatibles pour :

  • transformer tous les liens HTTP en liens HTTPS ;
  • redéfinir tous les avertissements SSL du navigateur en erreurs qui ne peuvent pas être contournées pour afficher le site Web.

Reportez-vous aux conditions préalables avant d’activer HSTS.


Conditions préalables

L’activation de HSTS (HTTP Strict Transport Security) améliore la sécurité de votre site Web. Cependant, il est important de garder ceci à l’esprit :

  • Activez HTTPS avant que HSTS ou les navigateurs ne puissent pas accepter vos paramètres HSTS.
  • Une fois que HSTS est activé, HTTPS doit rester activé sinon les visiteurs ne pourront pas accéder à votre site.

Activer HSTS

Si SSL ou HTTPS est désactivé alors que HSTS est activé, les visiteurs ne peuvent pas accéder à votre site pendant la durée spécifiée par l’en-tête max-age. Par exemple, si l’en-tête max-age est défini sur 6 mois et que vous désactivez HTTPS 2 mois après l’activation HSTS, les navigateurs qui ont accédé à votre site alors que HSTS était activé, ne peuvent pas consulter votre site pendant 4 mois supplémentaires, sauf si HTTPS est à nouveau activé.

Pour activer HSTS :

1. Connectez-vous au tableau de bord Cloudflare.

2. Sélectionnez le compte Cloudflare concerné pour le domaine nécessitant HSTS.

3. Assurez-vous que le bon domaine soit sélectionné.

4. Cliquez sur l’application SSL/TLS de Cloudflare.

5. Cliquez sur Activer HSTS dans la section HSTS (HTTP Strict Transport Security).

6. Une fenêtre de confirmation s’affiche. Vérifiez le contenu de l’avertissement.

7. Pour continuer, cliquez sur J’ai compris.

8. Cliquez sur Suivant.

9. Configurez les paramètres HSTS de votre domaine.  Au minimum, configurez l’en-tête max-age afin d’activer HSTS :

 

Nom du paramètre

Description

Options

Activer HSTS (Strict-Transport-Security)

Sert les en-têtes HSTS aux navigateurs pour toutes les requêtes HTTPS.

Off / On

En-tête max-age

Spécifie la durée pendant laquelle un navigateur applique la stratégie HSTS et requiert que HTTPS soit configuré correctement pour votre site Web.

Désactiver,

ou une plage de 1 à 12 mois

Appliquer la stratégie HSTS aux sous-domaines (includeSubDomains)

Applique la stratégie HSTS d’un domaine parent (exemple.com) aux sous-domaines (www.developpement.exemple.com ou api.exemple.com).

Vos sous-domaines deviennent inaccessibles s’ils ne prennent pas en charge le protocole HTTPS.

Off / On

Préchargement

Permet aux navigateurs de précharger automatiquement la configuration HSTS. Empêche un pirate de rétrograder une première requête de formulaire de HTTPS vers HTTP. Sans préchargement, HSTS n’est défini qu’après une demande HTTPS réussie initiale.

Le préchargement peut rendre un site Web sans prise en charge HTTPS totalement inaccessible.

Off / On

En-tête nosniff

Envoie l’en-tête nosniff de X-Content-Type-Options: pour empêcher les navigateurs Internet Explorer et Chrome de détecter automatiquement un type de contenu autre que celui spécifié explicitement par l’en-tête Content-Type.

Off / On

10. Cliquez sur Enregistrer.

Une fois le préchargement HSTS configuré, soumettez les demandes d’ajout à la liste de préchargement de chaque navigateur. Chrome, Firefox/Mozilla et Safari utilisent la liste de préchargement de Chrome. Un en-tête max-age minimum de 12 mois est requis pour l’inclusion dans les listes de préchargement du HSTS.
Les actions répertoriées ci-dessous désactivent HTTPS et doivent être évitées lorsque HSTS est activé.

Si votre serveur Web d’origine ne dispose pas d’un certificat SSL valide fourni par une autorité de certification, évitez les actions suivantes :

Voici quelques actions supplémentaires à éviter :

  • Rediriger HTTPS vers HTTP
  • Charger un certificat SSL personnalisé mal configuré qui contient :
    • des certificats SSL non valides ;
    • des certificats expirés ;
    • des noms d’hôtes incompatibles.

Désactiver HSTS

Si vous supprimez HTTPS avant de désactiver HSTS ou avant d’attendre la durée de l’en-tête max-age d’origine spécifié dans votre configuration Cloudflare HSTS, votre site Web deviendra inaccessible aux visiteurs pendant toute la durée de l’en-tête max-age ou jusqu’à ce que vous activiez HTTPS.

Suivez la procédure ci-dessous pour désactiver HTTPS sur votre domaine :

1. Connectez-vous au tableau de bord Cloudflare.

2. Sélectionnez le compte Cloudflare concerné pour le domaine ne nécessitant plus HSTS.

3. Assurez-vous que le bon domaine soit sélectionné.

4. Cliquez sur l’application SSL/TLS de Cloudflare.

5. Cliquez sur Activer HSTS dans la section HSTS (HTTP Strict Transport Security).

6. Une fenêtre de confirmation s’affiche. Vérifiez le contenu de l’avertissement.

7. Cliquez sur J’ai compris.

8. Cliquez sur Suivant.

10. Définissez l’en-tête max-age sur 0 (désactiver)


Ressources associées

Appliquer la stratégie Web avec HSTS

 

 

Vous n'avez toujours pas trouvé ce que vous cherchez ?

95% des questions peuvent être répondues en utilisant l'outil de recherche. C'est le moyen le plus rapide d'obtenir une réponse.

Réalisé par Zendesk