HSTS – Intégrer l’en-tête Strict Transport Security ?

  • Temps de lecture :7 min de lecture
  • Commentaires de la publication :0 commentaire

La sécurité est d’une importance capitale pour les sites WordPress, compte tenu des nombreuses menaces en ligne auxquelles ils sont exposés. Dans cette optique, le HTTP Strict Transport Security (HSTS) émerge comme un puissant mécanisme de renforcement de la sécurité. Cet article vise à vous familiariser avec le concept du HSTS et à vous guider dans sa mise en place pour sécuriser efficacement votre site WordPress.

Qu’est-ce que l’en-tête HTTP Strict Transport Security ?

Le HTTP Strict Transport Security (HSTS) est un protocole de sécurité qui permet aux sites web de spécifier qu’ils doivent être accessibles uniquement via des connexions sécurisées HTTPS. L’acronyme HSTS signifie littéralement « Strict Transport Security » et son objectif est de garantir que les communications entre le navigateur et le serveur web sont cryptées et protégées.

HTTP Strict Transport Security HSTS en Tete HTTP web wordpress nantes

L’IETF a introduit le concept du HSTS en 2012 avec la spécification RFC 6797. L’objectif principal du HSTS est de contrer différentes attaques, telles que les redirections HTTP vers HTTPS non autorisées, les attaques de type Man-in-the-Middle (MitM) et le détournement de cookies.

Comment activer HSTS sur votre site WordPress ?

L’intégration du HSTS (Strict Transport Security) à votre site WordPress renforce la sécurité de votre site en s’assurant que toutes les communications avec celui-ci se font exclusivement via HTTPS.

Le HSTS est une politique de sécurité qui oblige les navigateurs à accéder au site uniquement via une connexion sécurisée HTTPS. La mise en œuvre de HSTS est réalisée en ajoutant un en-tête HTTP spécifique à vos réponses de serveur. Une directive couramment utilisée avec HSTS est max-age, qui définit le nombre de secondes pendant lesquelles le site doit uniquement être accessible via HTTPS.

Activer HSTS dans Apache via le fichier .htaccess

Pour activer HSTS sur un serveur Apache, ajoutez le code suivant à votre fichier de configuration des hôtes virtuels ou au fichier .htaccess:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Activer le HSTS dans NGINX :

Si vous utilisez NGINX, ajoutez cette ligne à votre fichier de configuration pour activer HSTS :

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload";

Avec le HSTS activé, les utilisateurs qui tentent d’accéder à votre site via HTTP sont automatiquement redirigés vers la version HTTPS, garantissant une expérience sécurisée.

Activer le préchargement du domaine avec HSTS

Le préchargement HSTS, ou HTTP Strict Transport Security, est une fonction essentielle pour renforcer la sécurité d’un site web. En gros, cela implique d’ajouter votre site ou domaine à une liste HSTS approuvée, intégrée directement dans les navigateurs. Cette liste est officiellement compilée par Google et est prise en charge par de nombreux navigateurs populaires tels que Chrome, Firefox, Opera, Safari, IE11 et Edge.

Avantages du préchargement HSTS :

  • Sécurité renforcée dès la première connexion.
  • Prise en charge par 80% des navigateurs.
  • Réduction des risques d’attaques « man-in-the-middle ».

Toutefois, vous devez satisfaire à certaines exigences supplémentaires pour être admissible :

  • Possession d’un certificat SSL/TLS valide.
  • Redirection de tout le trafic vers HTTPS.
  • Service du HSTS sur le domaine principal.
  • Service de tous les sous-domaines en HTTPS, en particulier le sous-domaine ‘www’ s’il existe.
  • Durée d’expiration HSTS d’au moins 1 an (soit 31536000 secondes).
  • Spécification de la directive includeSubdomains.
  • Spécification de la directive preload.

Soumission pour préchargement : Une fois que vous avez satisfait à toutes ces exigences et configuré votre en-tête, vous pouvez ajouter votre site à la liste de préchargement HSTS.

La soumission à la liste de préchargement prend environ une semaine et signifie un engagement à long terme avec HTTPS. Retirer un domaine de cette liste peut être une procédure longue et complexe.

Support du HSTS par les navigateurs

La prise en charge du protocole HSTS (HTTP Strict Transport Security) par les navigateurs est remarquablement élevé. Globalement, plus de 80 % des navigateurs offrent cette fonctionnalité, et ce taux s’élève à plus de 95 % aux États-Unis. Cela démontre l’importance croissante du HSTS dans le renforcement de la sécurité en ligne.

Laisser un commentaire