Demande #1752
Implémenter HTTP Strict Transport Security sur april.org
Description
Voir : https://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security
D'abord, réfléchir aux implications : quel contenu ne doit pas être servi en HTTPS ?
Commencer par tester un max-age bas pour éviter les problèmes.
Demandes liées
Historique
Mis à jour par François Poulain il y a plus de 7 ans
Perso ça me semble dangereux si les applications ne sont pas conçues pour. Amha le choix du HSTS doit autant sinon plus relever du concepteur de l'application car c'est lui le seul qui est capable d'attester que c'est conçu pour fonctionner avec.
Par ex. Médiawiki chie ici : #1350 Le site ne serait il pas HS avec HSTS ?
Mis à jour par Christian P. Momon il y a plus de 7 ans
Je suis à fond pour le HTTPS-Only Standard qui prône de n'utiliser que du HTTPS pour toutes les pages de tous les sites.
Voir : https://https.cio.gov/
Si un produit bug avec ça, est-ce un bon produit ? Quoiqu'il en soit, le cas par car semble inévitable et même souhaitable.
Question : plutôt que de faire HTTP STS, pourquoi ne pas faire une redirection du flux 80 vers 443 (redirect 301 ou 308) alors à quoi sert HTTP STS ?
Pour information, le redirect est super simple :
https://httpd.apache.org/docs/current/mod/mod_alias.html#redirect
<VirtualHost *:80>
ServerName xxxx ou ServierAlias * ou autre
Redirect / https://kiwa.devinsy.fr/
</VirtualHost>
Mis à jour par François Poulain il y a plus de 7 ans
Hum, pour info, tu peux translater toute l'url, pas ne renvoyer qu'à la racine.
Mis à jour par Christian P. Momon il y a plus de 7 ans
François Poulain a écrit :
Hum, pour info, tu peux translater toute l'url, pas ne renvoyer qu'à la racine.
Me semble que l'instruction ci-dessus s'occupe de bien reprendre la partie droite de l'URL :)
Mis à jour par Christian P. Momon il y a plus de 7 ans
Aeris souffle sur IRC que le HSTS est mieux que la simple redirection car réduit le risque de mitm.
Ça laisse une possibilité de mitm mais il faut reconnaître que ça la réduit.
Même couper le port 80 laisse une possibilité de mitm.
Possibilité de pré-charger le site en mode HTST : https://hstspreload.org/ . Dans ce cas le mitm semble impossible. Mais bon, ça fait dépendre d'un fichier dont on ne sait pas grand chose de la gestion…
Mis à jour par François Poulain il y a plus de 7 ans
Me semble que l'instruction ci-dessus s'occupe de bien reprendre la partie droite de l'URL :)
Anéfé. La magie apache... ;)
Mis à jour par Edouard Dausque il y a plus de 7 ans
Benjamin Drieu a écrit :
Commencer par tester un max-age bas pour éviter les problèmes.
Et commencer par ne pas mettre la directive includeSubDomains
https://tools.ietf.org/html/rfc6797#section-6.1.2
Mis à jour par François Poulain il y a environ 7 ans
Perso je pense que c'est une erreur tant que ce sera le drupal actuel aux manettes. Cf bug #1686.
Mis à jour par Frédéric Couchet il y a environ 6 ans
- Version cible changé de Sprint Juin 2016 à Backlog
Mis à jour par Benjamin Drieu il y a environ 6 ans
- Statut changé de Nouveau à Résolu
- % réalisé changé de 0 à 100
HSTS a été implémenté sur april.org via NGINX. Le fichier /etc/nginx/hsts.conf doit être inclus par tout virtualhost qui désire forcer l'HSTS.
Par exemple:
server {
listen 443;
ssl on;
server_name www.april.org april.org dev.april.org;
[...]
include /etc/nginx/hsts.conf;
[...]
}
Pour faciliter la tâche, le fichier /etc/nginx/force-ssl.conf force un site en HTTP à passer en HTTPS et doit être inclus dans la version pur HTTP du virtualhost.
Mis à jour par Benjamin Drieu il y a environ 6 ans
- Dupliqué par Demande #1857: Cas du formulaire de login de la page http://www.april.org ajouté
Mis à jour par Benjamin Drieu il y a environ 6 ans
- Lié à Anomalie #1686: Problèmes SSL TLS sur www.april.org ajouté