Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Google pousse à l’utilisation du HSTS pour les serveurs webCrédits : Henrik5000/iStock

Pour le mois national de sensibilisation à la cybersécurité, Google indique vouloir entrer tout de suite dans le vif du sujet avec HSTS (HTTP Strict Transport Security).

Ce mécanisme permet à un serveur web d’émettre une directive aux navigateurs web, qui auront alors l’obligation de n’établir que des connexions HTTPS (avec chiffrement), sans tenir compte du moindre appel à des ressources qui seraient encore en HTTP classique.

Google recommande donc aux administrateurs de se rendre sur le site dévolu à la liste de préchargement HSTS (intégrée dans Chrome et la plupart des navigateurs).

Il faut bien sûr qu’un site remplisse certaines conditions : un certificat SSL valide, toujours redirigé vers le HTTPS, y compris pour les sous-domaines, et bien sûr émettre un en-tête HSTS pour les requêtes HTTPS.

Google ajoute que certains domaines de premier niveau (notamment .app, .dev et .page) sont déjà sur la liste de préchargement et recommande donc, en cas de nouveau site, de s’en servir.

4 commentaires
Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 02/10/19 à 13:35:06

C'est mignon le pré-chargement HSTS, mais ça nécessite un serveur web à l'apex du domaine. (Une tendance qui se généralise d'ailleurs, voir WKS ou MTA-STS)

Du coup, c'est niet. Qu'ils développent le support de DANE dans leurs machins plutôt que de vouloir me faire mettre des serveurs Web là où je ne veux pas en mettre

😒

Avatar de mum1989 INpactien
Avatar de mum1989mum1989- 02/10/19 à 17:01:15

John Shaft a écrit :

C'est mignon le pré-chargement HSTS, mais ça nécessite un serveur web à l'apex du domaine. (Une tendance qui se généralise d'ailleurs, voir WKS ou MTA-STS)

Du coup, c'est niet. Qu'ils développent le support de DANE dans leurs machins plutôt que de vouloir me faire mettre des serveurs Web là où je ne veux pas en mettre

😒

hein ?

l'apex c'est à dire stp ?
merci

(j'ai un srv web perso en HTTPS, mais l'option n'est pas activée chez moi.

Avatar de John Shaft Abonné
Avatar de John ShaftJohn Shaft- 02/10/19 à 17:05:19

l'apex, c'est le sommet d'une zone (là où il y a les enregistrements NS et SOA. Si on prend www.nextinpact.com, l'apex est nextinpact.com)

Avatar de Zekka Abonné
Avatar de ZekkaZekka- 03/10/19 à 12:07:32

Le nom de domaine quoi...

Il n'est plus possible de commenter cette actualité.