Une fois que vous avez configuré une connexion sécurisée pour votre ActivityInfo, vous devriez envisager d'activer HTTP Strict Transport Security (HSTS).
Le problème
HSTS aide à combler une petite fenêtre de vulnérabilité pour vos Utilisateurs. Lorsqu'un Utilisateur saisit pour la première fois le nom de votre serveur dans la barre d'adresse du navigateur, tel que "activityinfo.example.gov", le navigateur enverra normalement d'abord une requête non sécurisée et non chiffrée à "http://activityinfo.example.gov". Votre serveur ActivityInfo redirigera alors l'Utilisateur vers le point de terminaison sécurisé à l'adresse "https://activityinfo.example".
Cependant, si votre Utilisateur effectue cette première étape sur un réseau contrôlé by un acteur malveillant, la personne qui contrôle le réseau dispose d'une petite fenêtre pour organiser une attaque de l'homme du milieu avant que l'Utilisateur ne soit redirigé vers le point de terminaison sécurisé. Ils pourraient intercepter la requête non chiffrée vers "http://activityinfo.example.gov" et rediriger votre Utilisateur vers un faux site conçu pour voler ses identifiants.
La solution
L'en-tête de réponse HTTP Strict-Transport-Security (souvent abrégé en HSTS) informe les navigateurs que le site ne doit être consulté qu'en utilisant HTTPS, et que toute tentative future d'y accéder sans chiffrement doit être automatiquement convertie en HTTPS. Cela restreint davantage la fenêtre dans laquelle un acteur malveillant pourrait organiser une attaque de l'homme du milieu.
Tester HSTS
Vous pouvez activer HSTS une fois que vous avez configuré un Certificat SSL valide dans le panneau d'administration :
Cliquez sur "Commencer à activer Strict Transport Security" pour commencer à servir avec une courte durée de vie (Time-to-Live, TTL). Cela vous permet de tester votre configuration et de vous assurer que tous vos Utilisateurs peuvent toujours accéder au serveur.
Activer complètement HSTS
Une fois que vous avez confirmé que tout fonctionne bien avec HSTS, vous activez complètement HSTS en cliquant sur "Rendre Strict Transport Security permanent" :
Soyez prudent ! Une fois que vous commencez à servir cette directive, vos Utilisateurs ne pourront accéder à votre serveur ActivityInfo que via une section sécurisée. Les navigateurs de vos Utilisateurs refuseront l'accès, par exemple, si votre certificat expire avant d'être renouvelé. Revenir en arrière sur HSTS est, par Conception, très pénible.
Ajouter votre domaine à la liste de préchargement
Une fois que vous avez activé HSTS de manière permanente, vous pouvez soumettre votre nom de domaine à la liste de préchargement HSTS. Il s'agit d'une liste de Domaines utilisée par Chrome, Firefox et Safari qui est intégrée au navigateur, de sorte que vos Utilisateurs seront toujours forcés d'utiliser l'URL sécurisée, même la première fois.