Qu'est-ce qu'est HTTP Strict Transport Security (HSTS) ?

Le HTTP Strict Transport Security, ou HSTS, est un en-tête de réponse qui permet de forcer les navigateurs à utiliser le HTTPS pour toutes les requêtes ultérieures qu'ils envoient à un serveur. Cela signifie qu'une visite sur https://www.networking4all.com est automatiquement redirigée sans qu'il soit nécessaire d'envoyer au préalable une demande pour la page HTTP. Cela permet également d'éviter une attaque de niveau inférieur lors d'une attaque de type "Man in the Middle" qui obligerait le trafic à passer par une connexion non sécurisée au lieu de la connexion HTTPS cryptée.

Le HSTS fonctionne de telle manière que non seulement le trafic direct vers le site web en question est automatiquement converti en une connexion HTTPS. Les liens qui se trouvent sur une page externe et qui renvoient à la page HTTP sont également automatiquement envoyés à la page HTTPS. En outre, l'utilisation forcée du HTTPS empêche également le détournement de la clé de session par les cookies.

Pour configurer le HSTS, il suffit d'ajouter un en-tête de réponse à la configuration :

Strict-Transport-Security: max-age= 31536000;

Le serveur détermine que le HSTS nécessite l'utilisation du HTTPS pendant un an, soit 31 536 000 secondes.