Activation du HTTP Strict Transport Security HSTS

hsts.jpg

Strict Transport Security

Le HTTP Strict Transport Security HSTS est une instruction donnée par un serveur Web aux navigateurs Web sur la façon dont ils doivent interagir avec lui, directive communiquée au travers d’une en-tête.

Cette règle force les connexions HTTPS, sans tenir compte des appels de scripts pour charger des ressources en HTTP.

A tester avant de faire des bêtises :p selon le site vous risquez des ennuis...

Pour activer le HSTS il suffit de rajouter ceci dans un fichier .htaccess à la racine de votre site :

# Use HTTP Strict Transport Security to force client to use secure connections only
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Commande pour vérification :

#  curl -s -D- https://www.system-linux.eu/ | grep -i Strict
Strict-Transport-Security: max-age=31536000; includeSubDomains; preload
Vus : 199
Publié par System Linux : 184