HTTPS sécurise les visiteurs du site Web, mais ce n'est pas parfait.  Voici comment HSTS fonctionne en coulisse pour protéger HTTPS des pirates.

Qu'est-ce que le HSTS et comment protège-t-il HTTPS des pirates?

Publicité Vous avez peut-être vérifié que SSL est activé sur vos sites Web et que le joli cadenas de sécurité de votre navigateur est vert. Cependant, vous avez peut-être oublié le petit homme de sécurité de HTTP, HTTP Strict Transport Security (HSTS). Qu'est-ce que le HSTS et comment peut-il aider à protéger votre site? Qu'est-

Publicité

Vous avez peut-être vérifié que SSL est activé sur vos sites Web et que le joli cadenas de sécurité de votre navigateur est vert. Cependant, vous avez peut-être oublié le petit homme de sécurité de HTTP, HTTP Strict Transport Security (HSTS).

Qu'est-ce que le HSTS et comment peut-il aider à protéger votre site?

Qu'est-ce que HTTPS?

HTTPS s'appuie sur HSTS

Le protocole HTTPS (Hyper Text Transfer Protocol Secure) est une version sécurisée d'un site Web (HTTP). Le cryptage est activé à l'aide du protocole SSL (Secure Sockets Layer) et est validé avec un certificat SSL. Lorsque vous vous connectez à un site Web HTTPS, les informations transférées entre le site Web et l'utilisateur sont cryptées.

Ce cryptage vous protège contre le vol de données grâce aux attaques de type "Man-in-the-Middle-Attacks" (MITM). La couche de sécurité ajoutée contribue également à améliorer légèrement la réputation de votre site Web. Demystify SEO: 5 guides d'optimisation de moteur de recherche qui vous aident à démarrer Demystify SEO: 5 guides d'optimisation de moteur de recherche qui vous aident à commencer La maîtrise des moteurs de recherche nécessite des connaissances, de l'expérience et de nombreux essais et erreur. Vous pouvez commencer à apprendre les principes fondamentaux et à éviter facilement les erreurs de référencement courantes à l'aide de nombreux guides de référencement disponibles sur le Web. Lire la suite . En fait, l'ajout d'un certificat SSL est si facile que de nombreux hébergeurs l'ajouteront à votre site par défaut, gratuitement! Cela dit, HTTPS présente encore quelques défauts que HSTS peut aider à corriger.

Qu'est-ce que la TVH?

HSTS est un en-tête de réponse qui informe un navigateur que les sites Web activés ne sont accessibles que via HTTPS. Cela force votre navigateur à ne pouvoir accéder qu'à la version HTTPS du site Web et à toutes les ressources qui s'y trouvent.

Vous ne savez peut-être pas que, même si vous avez correctement configuré votre certificat SSL et activé HTTPS pour votre site Web, la version HTTP est toujours disponible. Cela est vrai même si vous avez configuré le transfert à l'aide de la redirection permanente 301.

Bien que la stratégie HSTS soit en vigueur depuis quelque temps déjà, elle n'a été officiellement mise en place par Google qu'en juillet 2016. C'est peut-être pour cela que vous n'en avez pas beaucoup entendu parler.

L'activation de HSTS arrêtera les attaques par le protocole SSL et le piratage des cookies. Qu'est-ce qu'un cookie et quel est son rapport avec ma vie privée? [MakeUseOf explique] Qu'est-ce qu'un cookie et quel est son rapport avec ma vie privée? [MakeUseOf explique] La plupart des gens savent qu'il existe des cookies dispersés sur Internet, prêts à être consommés par ceux qui les trouveront en premier. Attends quoi? Cela ne peut pas être juste. Oui, il y a des cookies ... Lire la suite deux vulnérabilités supplémentaires dans les sites Web activés pour SSL. Et en plus de sécuriser un site Web, HSTS accélérera le chargement des sites en supprimant une étape de la procédure de chargement.

Qu'est-ce que SSL Stripping?

Bien que HTTPS soit une énorme amélioration par rapport à HTTP, il n’est pas invulnérable au piratage. Le dénudage SSL est un hack MITM très courant pour les sites Web qui utilise la redirection pour envoyer des utilisateurs d'un HTTP à la version HTTPS de leur site Web.

La redirection 301 (permanente) et 302 (temporaire) fonctionne comme suit:

  1. Un utilisateur tape google.com dans la barre d'adresse de son navigateur.
  2. Le navigateur tente initialement de charger http://google.com par défaut.
  3. "Google.com" est configuré avec une redirection permanente 301 vers https://google.com .
  4. Le navigateur voit la redirection et charge https://google.com à la place.

Avec la suppression de SSL, le pirate informatique peut utiliser le délai entre l'étape 3 et l'étape 4 pour bloquer la demande de redirection et empêcher le navigateur de charger la version sécurisée (HTTPS) du site Web. Lorsque vous accédez ensuite à une version non chiffrée du site Web, toutes les données que vous entrez peuvent être volées.

Le pirate informatique peut également vous rediriger vers une copie du site Web auquel vous essayez d'accéder et capturer toutes vos données au fur et à mesure que vous les saisissez, même si elles ont l'air sécurisée.

Google a implémenté des étapes dans Chrome pour arrêter certains types de redirection. Cependant, l'activation de HSTS devrait être quelque chose que vous ferez par défaut pour tous vos sites Web à partir de maintenant.

Comment l'activation de HSTS arrête-t-elle SSL Stripping?

L'activation de HSTS oblige le navigateur à charger la version sécurisée d'un site Web et ignore toute redirection et tout autre appel pour ouvrir une connexion HTTP. Cela ferme la vulnérabilité de redirection qui existe avec les redirections 301 et 302.

Même le système HSTS présente un aspect négatif, à savoir que le navigateur de l'utilisateur doit voir l'en-tête HSTS au moins une fois avant de pouvoir en tirer parti pour de futures visites. Cela signifie qu'ils devront passer par le processus HTTP> HTTPS au moins une fois, ce qui les rend vulnérables la première fois qu'ils visitent un site Web compatible HSTS.

Pour lutter contre cela, Google Chrome précharge la liste des sites Web sur lesquels HSTS est activé. Les utilisateurs peuvent soumettre eux-mêmes des sites Web compatibles HSTS à la liste de préchargement s'ils répondent aux critères (simples) requis.

Contrôle de précharge HSTS

Les sites Web ajoutés à cette liste seront codés en dur dans les futures versions des mises à jour de Chrome. Il garantit que toutes les personnes visitant des sites Web activés HSTS dans des versions mises à jour de Chrome resteront en sécurité.

Firefox, Opera, Safari et Internet Explorer ont leur propre liste de préchargement HSTS, mais ils sont basés sur la liste Chrome sur hstspreload.org.

Comment activer la TVH sur votre site Web

Pour activer HSTS sur votre site Web, vous devez d'abord disposer d'un certificat SSL valide. 7 raisons pour lesquelles votre site nécessite un certificat SSL. 7 raisons pour lesquelles votre site nécessite un certificat SSL. Peu importe que vous développiez un blog modeste ou un e-commerce complet site: vous avez besoin d'un certificat SSL. Voici quelques raisons pratiques pour lesquelles. Lire la suite . Si vous activez HSTS sans aucun serveur, votre site ne sera accessible à aucun visiteur. Assurez-vous donc que votre site Web et tous les sous-domaines fonctionnent via HTTPS avant de continuer.

Activer le HSTS est assez facile. Vous devez simplement ajouter un en-tête au fichier .htaccess sur votre site. L'en-tête que vous devez ajouter est:

 Strict-Transport-Security: max-age=31536000; includeSubDomains 

Cela ajoute un cookie d'accès d'un an maximum (qu'est-ce qu'un cookie? Les cookies ne sont pas tous mauvais: 6 raisons de les laisser activés sur votre navigateur Les cookies ne sont pas tous mauvais: 6 raisons de les laisser activés sur votre navigateur Cela met-il votre sécurité et votre confidentialité en péril ou existe-t-il de bonnes raisons d'autoriser les cookies? En savoir plus), qui comprend votre site Web et ses sous-domaines. Une fois qu'un navigateur a accédé au site Web, il ne pourra plus accéder à la version HTTP non sécurisée du site Web pendant un an. Assurez-vous que tous les sous-domaines de ce domaine sont inclus dans le certificat SSL et que HTTPS est activé. Si vous oubliez cela, les sous-domaines ne seront plus accessibles après avoir enregistré le fichier .htaccess.

Les sites Web pour lesquels l' option includeSubDomains est manquante peuvent exposer les visiteurs à des fuites en matière de confidentialité en permettant aux sous-domaines de manipuler les cookies. Avec includeSubDomains activé, ces attaques liées aux cookies ne seront pas possibles.

Remarque: Avant d’ajouter l’âge maximum d’un an, testez d’abord votre site Web avec un maximum d’âge maximum de cinq minutes en utilisant: max-age = 300;

Google vous recommande même de tester votre site Web et ses performances (trafic) avec une valeur correspondant à une semaine et à un mois avant de mettre en place une durée maximale de deux ans.

 Five minutes: Strict-Transport-Security: max-age=300; includeSubDomains One week: Strict-Transport-Security: max-age=604800; includeSubDomains One month: Strict-Transport-Security: max-age=2592000; includeSubDomains 

Faire la liste de préchargement HSTS

Vous devez maintenant connaître HSTS et comprendre pourquoi il est important que votre site l’utilise. Assurer la sécurité en ligne des visiteurs de votre site Web devrait être un élément clé de votre plan de site.

Pour être éligible à la liste de préchargement HSTS utilisée par Chrome et d'autres navigateurs, votre site Web doit répondre aux exigences suivantes:

  1. Servir un certificat SSL valide.
  2. Redirige de HTTP vers HTTPS sur le même hôte, si vous écoutez sur le port 80.
  3. Servir tous les sous-domaines sur HTTPS. En particulier, vous devez prendre en charge HTTPS pour le domaine www.subdomain si un enregistrement DNS existe pour ce sous-domaine.
  4. Servez un en-tête HSTS sur le domaine de base pour les demandes HTTPS:
    • L'âge maximum doit être d'au moins 31536000 secondes (1 an).
    • La directive includeSubDomains doit être spécifiée.
    • La directive de précharge doit être spécifiée.
    • Si vous diffusez une redirection supplémentaire à partir de votre site HTTPS, cette redirection doit toujours avoir l'en-tête HSTS (plutôt que la page vers laquelle il redirige).

Si vous souhaitez ajouter votre site Web à la liste de préchargement HSTS, veillez à ajouter la balise de préchargement requise. L'option «préchargement» signifie que vous souhaitez que votre site Web soit ajouté à la liste de préchargement HSTS de Chrome. L'en-tête de la réponse dans .htaccess devrait alors ressembler à ceci:

 Strict-Transport-Security: max-age=63072000; includeSubDomains; preload 

Nous vous recommandons d’ajouter votre site Web à hstspreload.org. Les exigences sont assez faciles à satisfaire. Elles contribueront à protéger les visiteurs de votre site Web et, éventuellement, à améliorer le classement des moteurs de recherche de votre site Web. Comment fonctionnent les moteurs de recherche? Comment fonctionnent les moteurs de recherche? Pour beaucoup de gens, Google est l’internet. C'est sans doute l'invention la plus importante depuis Internet. Et bien que les moteurs de recherche aient beaucoup changé depuis, les principes sous-jacents sont toujours les mêmes. Lire la suite .

En savoir plus sur: HSTS, HTTPS, sécurité en ligne, SSL.