Nous utilisons des cookies

Nous utilisons des cookies pour garantir le bon fonctionnement du site Web, pour surveiller et optimiser l'expérience utilisateur sur nos sites Web et à des fins de marketing et de médias sociaux.

Ajuster les préférences
Retourner

Ajuster les préférences

Vous pouvez choisir les cookies que vous souhaitez activer. Les cookies analytiques nous aident à analyser et à améliorer l'utilisation du site Web. Les cookies statistiques collectent des données anonymisées pour suivre les tendances et les performances.

Cookies nécessaires (toujours actifs)
Cookies analytiques
Cookies marketing
Skip to content

Comment activer HSTS ?

Retour à hébergement web

Dans cet article, nous expliquons comment activer HTTP Strict Transport Security (HSTS).
Vous trouverez plus d'explications sur ce qu'est HSTS dans l'article : Qu'est-ce que HSTS ?


Activer HSTS Vous pouvez activer HSTS de 2 façons, via votre panneau de contrôle ou via un code dans votre fichier .htaccess.
Ci-dessous, j'explique d'abord comment l'activer via votre panneau de contrôle.



Fournir les sous-domaines avec HSTS ou non ? Une question importante à se poser est de savoir si vous voulez également fournir les sous-domaines avec HSTS. Il y a un paramètre (max-age) qui indique combien de secondes le HSTS doit rester actif, notre conseil est de commencer bas et quand vous êtes sûr qu'il est réglé correctement, vous pouvez augmenter la période (max-age). Un bon exemple est de commencer par 5 minutes, si cela fonctionne bien, passez à 1 jour, puis 1 semaine, puis un mois, puis un an.


DirectAdmin A notre connaissance, il n'y a pas d'option dans DirectAdmin pour activer HSTS par un clic de souris.
Il est toutefois possible d'utiliser la méthode .htaccess.


cPanelA notre connaissance, il n'y a pas d'option dans cPanel pour activer HSTS par un clic de souris.
Il est toutefois possible d'utiliser la méthode .htaccess.


Connexion deSATserverà www.satserver.nl
Dans le menu de gauche, cliquez sur Advanced --> Server Features.
Sous Strict-Transport-Sécurité, sélectionnez Domaine + tous les sous-domaines ou Domaine seulement.
En bas, cliquez sur Personnaliser.


PleskConnectez-vous à l'environnement d'hébergement Plesk
Cliquez sur SSL/TLS (voir l'image ci-dessous si applicable).

60c8bdacb1d4e.png

Activez ensuite HSTS sur le côté gauche comme indiqué dans l'image ci-dessous.

60c8bdacbc3fd.png

Sélectionnez ensuite la période.

60c8bdacbd3e5.png


Cochez ensuite si vous voulez également fournir les sous-domaines avec HSTS ou non.

60c8bdacbe688.png

Cliquez ensuite sur le bouton "Enable HSTS" pour l'activer.


Via htaccess


Activer HSTS (y compris les sous-domaines et en utilisant le préchargement pendant 5 minutes)

Ajoutez le code suivant pour que votre domaine et vos sous-domaines utilisent HSTS :

Header always set Strict-Transport-Security "max-age=300 ; includeSubDomains ; preload" env=HTTPS


Notez que le code ci-dessus fournit également les sous-domaines avec HSTS, vous pouvez bien sûr personnaliser le code à votre guise.

Si vous ne souhaitez pas fournir HSTS à vos sous-domaines, vous pouvez omettre includeSubDomains ; nous donnerons quelques exemples ci-dessous.

Dans le code ci-dessus, nous avons fixé l'âge maximum à 300 secondes (5 minutes), afin que vous puissiez vérifier si HSTS fonctionne correctement.


Activer HSTS (y compris les sous-domaines et en utilisant le préchargement pendant 5 jours)

Si le système fonctionne correctement, vous pouvez activer HSTS pour une période plus longue (par exemple 5 jours) avec la règle ci-dessous :

En-tête toujours défini Strict-Transport-Security "max-age= 432000 ; includeSubDomains ; preload" env=HTTPS


Activer HSTS (inclure les sous-domaines et utiliser preload pendant 1 mois)

Si vous êtes sûr que 5 jours fonctionnent bien, vous pouvez alors passer à un mois (max-age=2592000).

En-tête toujours défini Strict-Transport-Security "max-age= 2592000 ; includeSubDomains ; preload" env=HTTPS


Activer HSTS (inclure les sous-domaines et utiliser preload pendant 1 an)

Une fois que vous êtes sûr que cela fonctionne correctement, vous pouvez passer à un an avec le code suivant :

Header always set Strict-Transport-Security "max-age= 31536000 ; includeSubDomains ; preload" env=HTTPS


Il ne sera considéré comme sûr par les navigateurs web que si une période d'au moins 1 an est utilisée.

Vous pouvez éventuellement modifier le code à votre guise, comme le nombre de secondes dans le max-age, l'utilisation de includeSubDomains ; et le preload.
Si vous voulez seulement équiper votre nom de domaine avec HSTS mais pas vos sous-domaines, vous pouvez utiliser le code suivant, par exemple :

Header always set Strict-Transport-Security "max-age= 31536000 ; preload" env=HTTPS

Vous pouvez également choisir de ne pas utiliser preload, auquel cas vous pouvez omettre les lettres : preload.

Retour à hébergement web

Articles Liés