Apache : bascule automatique vers le HTTPS par HSTS

Partager Apache : bascule automatique vers le HTTPS par HSTS sur Twitter   Partager Apache : bascule automatique vers le HTTPS par HSTS sur Facebook   Partager Apache : bascule automatique vers le HTTPS par HSTS sur Linkedin 25 janvier 2018

Apache : bascule automatique vers le HTTPS avec le HSTSJe me suis aperçu que j’avais laissé des directives totalement inutiles dans mes fichiers de configuration Apache pour rediriger le http vers le https, du genre :

RedirectMatch permanent "^(.*)$" https://www.dsfc.net$1

HTTP Strict Transport Security

Firefox et Chromium basculent en https dès qu’ils recoivent de la part du serveur un en-tête Strict-Transport-Security, à la condition que le certificat soit issu d’une autorité de certification valable comme Let’s Encrypt.  Il est donc totalement inutile de laisser la redirection indiquée ci-dessus, dès lors que vous ajoutez à l’un des fichiers de configuration générale ( pas dans le VirtualHost associé à votre site) de votre fichier Apache :

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

L’unité de temps utilisée par l’en-tête Strict-Transport-Security est la seconde. Dans l’exemple ci-dessus, j’ai activé le HSTS pour un an.

Vérification sur Pingdom Tools

Sur la page Pingdom Tools, la redirection s’effectue du fait de HSTS !

Bascule automatique de HTTP vers HTTPS du fait de HSTS

 

Apache / , , , ,