La mise en œuvre de HTTP Strict Transport Security (HSTS) garantit que les navigateurs utilisent toujours des connexions HTTPS sécurisées lors de la communication avec un serveur, atténuant ainsi les risques d’attaques de rétrogradation ou d’exploits de type « man-in-the-middle ».
Cela empêche l’exposition potentielle de données sensibles en convertissant automatiquement toute tentative HTTP en requête HTTPS.
Le déploiement de HSTS sur un serveur Apache nécessite un certificat SSL valide et l’ajout de directives d’en-tête appropriées. La configuration de ces paramètres contribue à préserver l’intégrité et la confidentialité des données en créant un environnement où les clients interagissent uniquement avec des ressources protégées.
Comment paramétrer HSTS ?
Après vous êtes bien assuré de la validité de votre certificat SSL, veuillez suivre les étapes suivantes :
- Saisir la commande Enabling module headers pour autoriser les modules Headers.
- Redémarrer le service apache via la commande systemctl restart apache2
- Éditer votre fichier de configuration apache via la commande sudo nano /etc/apache2/sites-available/nom_de_votre_fichier_concerne.conf
- Ajouter Strict-Transport-Security via la directive Header (Header always set Strict-Transport-Security « max-age=31536000; includeSubDomains ») dans la configuration de votre serveur virtuel comme illustré ci-dessous :
<VirtualHost *:443> # ..... # .... Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" </VirtualHost> - Redémarrer à nouveau le service apache (systemctl restart apache2)
- Checker que votre Header est désormais bien présent via la commande curl –head https://votre_url