L’implémentation de HSTS (HTTP Strict Transport Security) est une étape cruciale pour sécuriser les connexions d’un site web. HSTS est un mécanisme de politique de sécurité web qui aide à protéger les sites contre les attaques de type downgrade et les détournements de cookies en forçant les navigateurs à utiliser uniquement des connexions HTTPS sécurisées. Voici un guide pour implémenter HSTS sur votre serveur web.

1. 1. Configuration du Serveur Web

1. Apache
   Pour Apache, il suffit d’ajouter la directive suivante dans la configuration de votre serveur (généralement dans le fichier `.htaccess`, `httpd.conf` ou `ssl.conf`):

```
Header always set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload”

```

- `max-age=31536000` : Indique la durée (en secondes) pendant laquelle le navigateur doit se souvenir que ce site est uniquement accessible via HTTPS (31536000 secondes équivaut à 1 an).
- `includeSubDomains` : Indique que cette politique doit également s’appliquer à tous les sous-domaines.
- `preload` : Si vous comptez inscrire votre site sur la liste de préchargement HSTS, c’est nécessaire.

1. Nginx
   Pour Nginx, ajoutez cette directive dans votre fichier de configuration (`nginx.conf` ou le fichier de configuration de votre site spécifique):

```
add_header Strict-Transport-Security “max-age=31536000; includeSubDomains; preload” always;
```

1. 2. Testez votre Configuration

Après avoir ajouté ces directives, il est crucial de tester votre configuration pour vous assurer qu’elle fonctionne correctement. Vous pouvez utiliser des outils comme [HSTS Preload List submission](https://hstspreload.org/) et [Qualys SSL Labs](https://www.ssllabs.com/ssltest/) pour vérifier l’implémentation.

1. 3. Enregistrez votre Site pour le Préchargement HSTS

Pour une sécurité accrue, vous pouvez inscrire votre site sur la liste de préchargement HSTS. Cette liste est maintenue par Google et d’autres navigateurs adoptent cette liste pour améliorer la sécurité globale. Allez sur [HSTS Preload List submission](https://hstspreload.org/) et suivez les instructions pour soumettre votre domaine.

1. Exemples

Exemple Apache :

```
ServerName example.com DocumentRoot /var/www/html SSLEngine on SSLCertificateFile /path/to/cert.pem SSLCertificateKeyFile /path/to/key.pem

Header always set Strict-Transport-Security “max-age=31536000; includeSubDomains; preload“ ```

Exemple Nginx :

```
server { listen 443 ssl; server_name example.com;

ssl_certificate /path/to/cert.pem; ssl_certificate_key /path/to/key.pem; add_header Strict-Transport-Security “max-age=31536000; includeSubDomains; preload” always; location / { root /usr/share/nginx/html; index index.html index.htm; } } ```

1. Sources Fiables

- [Mozilla Developer Network (MDN) – HTTP Strict Transport Security (HSTS)](https://developer.mozilla.org/fr/docs/Web/HTTP/Headers/Strict-Transport-Security)
- [HSTS Preload List Submission](https://hstspreload.org/)
- [Qualys SSL Labs](https://www.ssllabs.com/ssltest/)

En suivant ces étapes et en vous assurant que votre site est uniquement accessible via HTTPS, vous protégez mieux vos utilisateurs contre les attaques potentielles.

DinoGeek propose des articles simples sur des technologies complexes

Vous souhaitez être cité dans cet article ? Rien de plus simple, contactez-nous à dino@eiki.fr

CSS | NodeJS | DNS | DMARC | MAPI | NNTP | htaccess | PHP | HTTPS | Drupal | WEB3 | LLM | Wordpress | TLD | Nom de Domaine | IMAP | TCP | NFT | MariaDB | FTP | Zigbee | NMAP | SNMP | SEO | E-Mail | LXC | HTTP | MangoDB | SFTP | RAG | SSH | HTML | ChatGPT API | OSPF | JavaScript | Docker | OpenVZ | ChatGPT | VPS | ZIMBRA | SPF | UDP | Joomla | IPV6 | BGP | Django | Reactjs | DKIM | VMWare | RSYNC | Python | TFTP | Webdav | FAAS | Apache | IPV4 | LDAP | POP3 | SMTP