Strict Transport Security

Cet article a été traduit de l'anglais par IA et peut contenir des erreurs. Vos commentaires nous aideront à l'améliorer.

Une fois que vous avez configuré une connexion sécurisée pour votre instance ActivityInfo, vous devriez envisager d'activer HTTP Strict Transport Security (HSTS).

Le problème

HSTS aide à résoudre une étroite fenêtre de vulnérabilité pour vos utilisateurs. Lorsqu'un utilisateur saisit le nom de votre serveur pour la première fois dans la barre d'adresse du navigateur, tel que "activityinfo.example.gov", le navigateur envoie normalement d'abord une requête non sécurisée et non chiffrée à "http://activityinfo.example.gov". Votre serveur ActivityInfo redirigera ensuite l'utilisateur vers le point de terminaison sécurisé à "https://activityinfo.example".

Cependant, si votre utilisateur effectue cette première étape sur un réseau contrôlé par un acteur malveillant, quiconque contrôle le réseau dispose d'une fenêtre étroite pour organiser une attaque de l'homme du milieu avant que l'utilisateur ne soit redirigé vers le point de terminaison sécurisé. Ils pourraient intercepter la requête non chiffrée vers "http://activityinfo.example.gov" et rediriger votre utilisateur vers un faux site conçu pour voler ses identifiants.

La solution

L'en-tête de réponse HTTP Strict-Transport-Security (souvent abrégé en HSTS) informe les navigateurs que le site ne doit être accessible que via HTTPS, et que toute tentative future d'y accéder sans chiffrement doit être automatiquement convertie en HTTPS. Cela réduit encore la fenêtre dans laquelle un acteur malveillant pourrait organiser une attaque de l'homme du milieu.

Tester HSTS

Vous pouvez activer HSTS une fois que vous avez configuré un certificat SSL valide dans le panneau d'administration :

Capture d'écran de la section Certificat SSL
Capture d'écran de la section Certificat SSL

Cliquez sur "Commencer à activer Strict Transport Security" pour commencer à servir avec un court Time-to-Live (TTL). Cela vous permet de tester votre configuration et de vous assurer que tous vos utilisateurs peuvent toujours accéder au serveur.

Activer complètement HSTS

Une fois que vous avez confirmé que tout fonctionne bien avec HSTS, vous activez complètement HSTS en cliquant sur "Rendre Strict Transport Security permanent" :

Capture d'écran de la section Certificat SSL
Capture d'écran de la section Certificat SSL

Soyez prudent ! Une fois que vous commencez à servir cette erreur, vos utilisateurs ne pourront accéder à votre serveur ActivityInfo que via une section sécurisée. Les navigateurs de vos utilisateurs refuseront l'accès, par exemple, si votre certificat expire avant d'être renouvelé. La restauration de HSTS est, de par sa conception, très pénible.

Ajouter votre domaine à la liste de préchargement

Une fois que vous avez activé HSTS de manière permanente, vous pouvez soumettre votre nom de domaine à la liste de préchargement HSTS. Il s'agit d'une liste de domaines utilisés par Chrome, Firefox et Safari qui est intégrée au navigateur, de sorte que vos utilisateurs seront toujours forcés d'utiliser l'URL sécurisée, même la première fois.

Élément suivant
Configuration de Traefik