Aller au contenu principal

RFC 6797 - HTTP Strict Transport Security (Sécurité Stricte du Transport HTTP, HSTS)

Internet Engineering Task Force (IETF)
Request for Comments : 6797
Catégorie : Standards Track
ISSN : 2070-1721

Auteurs :
J. Hodges (PayPal)
C. Jackson (Carnegie Mellon University)
A. Barth (Google, Inc.)

Date de publication : Novembre 2012

Résumé (Abstract)

Cette spécification définit un mécanisme permettant aux sites web de déclarer qu'ils ne sont accessibles que via des connexions sécurisées et/ou permettant aux utilisateurs de diriger leur agent utilisateur (User Agent) pour interagir avec des sites donnés uniquement via des connexions sécurisées. Cette politique globale est appelée HTTP Strict Transport Security (HSTS). La politique est déclarée par les sites web via le champ d'en-tête de réponse HTTP Strict-Transport-Security et/ou par d'autres moyens, tels que la configuration de l'agent utilisateur, par exemple.

Statut de ce mémo (Status of This Memo)

Ceci est un document Internet Standards Track.

Ce document est un produit de l'Internet Engineering Task Force (IETF). Il représente le consensus de la communauté IETF. Il a fait l'objet d'un examen public et a été approuvé pour publication par l'Internet Engineering Steering Group (IESG). De plus amples informations sur les normes Internet sont disponibles dans la section 2 de la RFC 5741.

Des informations sur le statut actuel de ce document, les errata et comment fournir des commentaires peuvent être obtenues à :
http://www.rfc-editor.org/info/rfc6797

Copyright (c) 2012 IETF Trust et les personnes identifiées comme auteurs du document. Tous droits réservés.

Ce document est soumis au BCP 78 et aux dispositions légales de l'IETF Trust relatives aux documents IETF (http://trustee.ietf.org/license-info) en vigueur à la date de publication de ce document. Veuillez examiner attentivement ces documents, car ils décrivent vos droits et restrictions concernant ce document.

Table des matières (Table of Contents)

Annexes (Appendices)

Ressources associées

Référence rapide

Valeur fondamentale de HSTS

HSTS résout les problèmes de sécurité web critiques suivants en forçant les connexions HTTPS :

  1. Attaques SSL Stripping : Les attaquants remplacent les liens HTTPS par HTTP
  2. Attaques de l'homme du milieu : Interception et modification du trafic non chiffré
  3. Détournement de session : Vol de cookies transmis via HTTP
  4. Problèmes de contenu mixte : Pages HTTPS chargeant des ressources HTTP

Utilisation de base

Exemple de configuration du serveur (Nginx) :

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Comportement du navigateur :

L'utilisateur visite : http://example.com
Le navigateur convertit automatiquement en : https://example.com
Erreur de certificat : Blocage direct, aucun contournement autorisé

Recommandations de déploiement

  1. Phase de test : max-age=300 (5 minutes)
  2. Déploiement initial : max-age=86400 (1 jour)
  3. Opération stable : max-age=31536000 (1 an)
  4. Entrée dans la liste de préchargement : max-age=63072000; includeSubDomains; preload

Considérations importantes

⚠️ Avertissements importants :

  • HSTS est difficile à révoquer rapidement une fois défini
  • Assurez-vous que tous les sous-domaines prennent en charge HTTPS avant d'utiliser includeSubDomains
  • N'envoyez pas d'en-têtes HSTS dans les réponses HTTP (ils seront supprimés)
  • Évitez d'utiliser des valeurs max-age à long terme dans les environnements de développement

Cette RFC est l'un des piliers de la sécurité web moderne et est prise en charge par tous les navigateurs principaux. Le déploiement approprié de HSTS peut améliorer considérablement la sécurité des sites web.

Dernière mise à jour le