L'attaque MITM que HSTS empêche
Sans HSTS, un attaquant en position man-in-the-middle peut intercepter la première requête HTTP avant la redirection HTTPS. L'utilisateur croit naviguer en sécurité — il ne l'est pas.
Comment ajouter HSTS
Ajoute ce header côté serveur : Strict-Transport-Security: max-age=31536000; includeSubDomains. Sur Nginx, ça tient en une ligne. Sur Apache, une ligne dans le VirtualHost HTTPS suffit.
max-age : quelle valeur choisir
31 536 000 secondes = 1 an. C'est la valeur recommandée pour la production. Commence avec max-age=300 (5 minutes) pour tester, puis monte progressivement.
HSTS preloading
En ajoutant ; preload et en soumettant ton domaine sur hstspreload.org, Chrome et Firefox mémoriseront que ton site est HTTPS-only même avant la première visite.
Ton site a ce problème ?
Analyse gratuite en 30 secondes — rapport complet instantané.
Lire aussi