Configuration HTTPS-HSTS de la plateforme de feedback

La plateforme de feedback ne redirige pas vers sa version HTTPS si on y accède en HTTP.

Le HSTS ne fait pas effet tant que l'on a pas accédé à la plateforme en HTTPS au moins une fois.

Pour reproduire, visitez http://feedback.wildcodeschool.fr depuis un autre navigateur que celui que vous utilisez habituellement. Vous pouvez aussi vous référer à ce scan, qui confirme qu'aucun redirection HTTP > HTTPS ne se fait, et que quelque chose cloche avec le HSTS : https://securityheaders.com/?q=http://feedback.wildcodeschool.fr&followRedirects=on

Mots clés:

Réponses

  • Update : Entre temps j'ai un peu plus appris comment le HSTS fonctionne :

    • Ce n'est pas idéal que le site renvoie le header HSTS en HTTP (cf le premier "Note" ici) à noter néanmoins que ce n'est pas "grave", tout bon navigateur est sensé ignorer le header s'il est envoyé en HTTP
    • C'est normal qu'en l'espèce le HSTS de la plateforme de feedback ne fasse pas effet tant qu'on a pas effectué au moins une requête en HTTPS, c'est le fonctionnement normal du HSTS.
      Néanmoins, ça pourrait être amélioré en inscrivant le site sur HSTS Preload, à noter qu'il faudra avant que ça soit possible faire quelques modifs de config précisées dans le lien

    Au final mon post se transforme donc en deux choses :

    • /!\ Le plus important, le "bug" faisant que la plateforme ne fait pas de redirection vers sa verion HTTPS lorsqu'on y accède en HTTP. A noter qu'il est encore plus critique du fait que le lien vers cette plateforme présent sur Odyssey EST en HTTP et non en HTTPS (donc on peut supposer que la plupart des gens qui visitent la plateforme de feedback sont en HTTP pour cette raison, et que pour cette même raison le header HSTS n'a jamais l'occasion de faire effet
    • Suggestion d'inscrire la plateforme de feedback sur HSTS Preload, ce qui règlerait au passage le "bug"
Connectez-vous ou Inscrivez-vous pour répondre.