Qu'est-ce qu'est HTTP Strict Transport Security (HSTS)?

HTTP Strict Transport Security, ou HSTS, est l'en-tête de réponse qui permet navigateurs de forcer les demandes suivantes qui sont envoient au serveur, en utilisant HTTPS. Celui signifie qu'une visite au http://www.networking4all.com est transmis automatiquement au https://www.networking4all.com, sans une demande pour le page HTTP. Celui prévient une attaque dégradée pendant une attaque Man in the Middle qui est appliquée sous une connexion non sécurisée au lieu d'une connexion HTTPS.

HSTS fonctionne de telle manière que le trafic du site web n'est pas émis seulement à une connexion HTTPS, mais les liens sur la page externe sont aussi transmis à la page HTTPS. De plus, l'usage forcé de HTTPS prévient aussi d'être détourné la clé de session par les cookies.

La configuration de HSTS est une question d'ajouter l'en-tête de réponse à la configuration:

Strict-Transport-Security: max-age= 31536000;

Le serveur détermine que le HSTS pour un an ou 31.536.000 secondes, l'utilisation de HTTPS est obligatoire.