HTTP Strict Transport Security, également appelée HSTS ou simplement STS, est une nouvelle extension de sécurité opt-in pour HTTP définie dans la RFC-6797. Les principaux objectifs de cette extension sont de prévenir les fuites d’informations.
HSTS est spécifié par une application Web via l'utilisation d'une en-tête de réponse spécial qui empêchera toute communication via HTTP vers le domaine spécifié. Au lieu de cela, HSTS oblige le client à utiliser HTTPS pour toutes les demandes.
HSTS adressera les menaces suivantes:
- URL HTTP tapées manuellement ou placées en favoris qui pourraient être exposées aux attaques de type "man-in-the-middle"
- Pages à contenu mixte exposant par inadvertance des informations sensibles via des cookies
- Interception manuelle du trafic à l'aide de certificats non valides dans l'espoir que l'utilisateur accepte les mauvais certificats.
- Attaques de rétrogradation HTTP, dans lesquelles un attaquant incite un utilisateur à soumettre une demande non chiffrée à un serveur
Une stratégie HSTS peut contenir une directive facultative, includeSubDomains, spécifiant que cette stratégie HSTS s’applique également à tous les hôtes dont les noms de domaine sont des sous-domaines du nom de domaine de l’hôte HSTS connu.
En utilisant cette option, vous bloquez tous les appels du sous-domaine pointant vers Symplify, par exemple, cliquez sur <votredomaine.com>. Un message d'avertissement est envoyé au destinataire lorsque vous cliquez sur un lien du sous-domaine certificat. Nous vous recommandons donc de ne mettre en œuvre HSTS que sur les domaines qui prennent en charge le protocole HTTPS et n’utilisez pas la directive includeSubDomains.
Si vous souhaitez implémenter HSTS avec includeSubDomains, une autre solution consiste à pointer le domaine Web Symplify actuel sur votre propre serveur Web sur lequel vous devrez gérer la demande et la rediriger vers Symplify. Il est important de noter que cela ajoute une redirection supplémentaire et donc un délai supplémentaire pour les clics sur les liens de vos destinataires.
HSTS n'est pas une solution ni un remède à toutes les difficultés liées à HTTPS et à la sécurité Web. Un grand soin doit être pris lors de l'adoption de cette technologie. L’architecture des sites et des applications doit être soigneusement planifiée et évaluée avant de déployer tout mécanisme de sécurité, et une utilisation incorrecte du système HSTS et de ses options de configuration pourrait être potentiellement catastrophique.
Si vous avez implémenté HSTS avec une stratégie de sous-domaine stricte, cela restreindra l'accès aux utilisateurs qui visitent votre site Web. La stratégie sera stockée dans le navigateur Web des destinataires. Vous devez toujours accéder à votre domaine avec https. Cette suppression ne peut pas être supprimée en supprimant les cookies ou l'historique du navigateur. Toute modification que vous apportez sera sujette au temps de vie que vous avez appliqué dans la politique. Cela signifie que si vous annulez une modification, cela peut prendre un certain temps avant que les modifications affectent les visiteurs qui ont la stratégie dans leur navigateur.
Plus d'information
RFC-6797
Wikipedia article regarding HTTP Strict Transport Security