Sécurité réseau
HTTP Strict Transport Security (HSTS)
Aussi appelé: Strict-Transport-Security, En-tête HSTS
Définition
Politique de sécurité web diffusée via un en-tête HTTP qui ordonne au navigateur d'accéder à un domaine uniquement en HTTPS pendant une durée déclarée.
HSTS, défini par le RFC 6797, est signalé par l'en-tête de réponse Strict-Transport-Security. Lorsqu'un navigateur compatible reçoit cet en-tête, il mémorise la politique et met automatiquement à niveau toute requête future vers cet hôte (et, en option, ses sous-domaines) vers HTTPS, refusant la connexion si le handshake TLS ou la validation du certificat échoue. Cela neutralise les attaques SSL stripping et l'injection de cookies sur les requêtes initiales. Les bonnes pratiques combinent un max-age long, la directive includeSubDomains, la directive preload et la soumission du domaine à la liste de préchargement HSTS du navigateur afin de protéger également la toute première visite.
Exemples
- Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
- Une banque inscrit son domaine apex à la liste de préchargement HSTS de Chromium.
Termes liés
HTTPS
HTTPS — definition coming soon.
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
SSL Stripping
Attaque de l'homme du milieu qui dégrade silencieusement la connexion HTTPS de la victime en HTTP en clair, permettant à l'attaquant de lire et modifier le trafic.
Secure Cookie Flag
Secure Cookie Flag — definition coming soon.
HTTP Security Headers
HTTP Security Headers — definition coming soon.
Autorité de certification (CA)
Entité de confiance qui émet et signe des certificats numériques, liant des clés publiques à des identités vérifiées telles que des noms de domaine ou des organisations.