Apache : bascule automatique vers le HTTPS par HSTS
25 janvier 2018
Je me suis aperçu que j’avais laissé des directives totalement inutiles dans mes fichiers de configuration Apache pour rediriger le http vers le https, du genre :
RedirectMatch permanent "^(.*)$" https://www.dsfc.net$1
HTTP Strict Transport Security
Firefox et Chromium basculent en https dès qu’ils recoivent de la part du serveur un en-tête Strict-Transport-Security, à la condition que le certificat soit issu d’une autorité de certification valable comme Let’s Encrypt. Il est donc totalement inutile de laisser la redirection indiquée ci-dessus, dès lors que vous ajoutez à l’un des fichiers de configuration générale ( pas dans le VirtualHost associé à votre site) de votre fichier Apache :
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
L’unité de temps utilisée par l’en-tête Strict-Transport-Security est la seconde. Dans l’exemple ci-dessus, j’ai activé le HSTS pour un an.
Vérification sur Pingdom Tools
Sur la page Pingdom Tools, la redirection s’effectue du fait de HSTS !
