Les bonnes pratiques d'écoconception
Performance Web 4.0.0
Mise à jour le 28/02/2024
Permalien

RWEB 0084 Favoriser HSTS Preload list aux redirections 301

Ref. Version →
Ref. BP →
GreenIT
1060
2.0.0
0084
3.0.0
0084
4.0.0
0084

Description

Le HSTS permet d’indiquer à n’importe quel navigateur, via un header de réponse HTTP gardé en cache que le domaine doit exclusivement être contacté en HTTPS.

Cela permet aux requêtes suivantes, émises sur le même domaine, d’être exclusivement contactées avec le protocole HTTPS, ce qui évite une multitude de redirections 301. Néanmoins, le premier appel exige une réponse (potentiellement non sécurisé) HTTP avec un header STS (Strict-Transport-Security). Pour pallier ce problème, et obliger les navigateurs à contacter l’intégralité du domaine en HTTPS, il est possible, en plus d’activer le HSTS, de s’enregistrer dans une liste statique mise à jour sur tous les navigateurs récents : https://hstspreload.org.

Il est important de noter que l’enregistrement de son domaine sur htstpreload.org est rapide et concerne l’intégralité du domaine, (sous-domaines inclus). Avant d’effectuer cet enregistrement, qui est relativement lent à supprimer, veillez qu’aucun de vos sous-domaines ne soient perturbés par la mise en place du HTTPS.

Exemple

Exemple de configuration

Strict-Transport-Security : max-age = 63072000 ; includeSubDomains ; preload

Principe de validation

Le nombre est inférieur ou égal à

de non activations de HSTS

 0
Vous avez repérez une coquille ou vous souhaitez contribuer ?

Venez sur le repo pour lancer une discussion sur la fiche.

Voir la fiche