Une fois que vous avez configuré une connexion sécurisée pour votre instance ActivityInfo, vous devriez envisager d'activer HTTP Strict Transport Security (HSTS).
Le problème
HSTS aide à résoudre une étroite fenêtre de vulnérabilité pour vos utilisateurs. Lorsqu'un utilisateur saisit le nom de votre serveur pour la première fois dans la barre d'adresse du navigateur, tel que "activityinfo.example.gov", le navigateur envoie normalement d'abord une requête non sécurisée et non chiffrée à "http://activityinfo.example.gov". Votre serveur ActivityInfo redirigera ensuite l'utilisateur vers le point de terminaison sécurisé à "https://activityinfo.example".
Cependant, si votre utilisateur effectue cette première étape sur un réseau contrôlé par un acteur malveillant, quiconque contrôle le réseau dispose d'une fenêtre étroite pour organiser une attaque de l'homme du milieu avant que l'utilisateur ne soit redirigé vers le point de terminaison sécurisé. Ils pourraient intercepter la requête non chiffrée vers "http://activityinfo.example.gov" et rediriger votre utilisateur vers un faux site conçu pour voler ses identifiants.
La solution
L'en-tête de réponse HTTP Strict-Transport-Security (souvent abrégé en HSTS) informe les navigateurs que le site ne doit être accessible que via HTTPS, et que toute tentative future d'y accéder sans chiffrement doit être automatiquement convertie en HTTPS. Cela réduit encore la fenêtre dans laquelle un acteur malveillant pourrait organiser une attaque de l'homme du milieu.
Tester HSTS
Vous pouvez activer HSTS une fois que vous avez configuré un certificat SSL valide dans le panneau d'administration :
Cliquez sur "Commencer à activer Strict Transport Security" pour commencer à servir avec un court Time-to-Live (TTL). Cela vous permet de tester votre configuration et de vous assurer que tous vos utilisateurs peuvent toujours accéder au serveur.
Activer complètement HSTS
Une fois que vous avez confirmé que tout fonctionne bien avec HSTS, vous activez complètement HSTS en cliquant sur "Rendre Strict Transport Security permanent" :
Soyez prudent ! Une fois que vous commencez à servir cette erreur, vos utilisateurs ne pourront accéder à votre serveur ActivityInfo que via une section sécurisée. Les navigateurs de vos utilisateurs refuseront l'accès, par exemple, si votre certificat expire avant d'être renouvelé. La restauration de HSTS est, de par sa conception, très pénible.
Ajouter votre domaine à la liste de préchargement
Une fois que vous avez activé HSTS de manière permanente, vous pouvez soumettre votre nom de domaine à la liste de préchargement HSTS. Il s'agit d'une liste de domaines utilisés par Chrome, Firefox et Safari qui est intégrée au navigateur, de sorte que vos utilisateurs seront toujours forcés d'utiliser l'URL sécurisée, même la première fois.