HSTS Preload Submission
mardi 23 juin 2015 à 22:37@jeekajoo shaarlinks 23/06/2015
Ajouter son site à la liste (https://code.google.com/p/chromium/codesearch#chromium/src/net/http/transport_security_state_static.json) maintenue par l'équipe de chromium et également utilisée par Firefox, Safari et bientôt le nouveau IE.
Conditions techniques:
"""
1 Have a valid certificate.
2 Redirect all HTTP traffic to HTTPS—i.e. be HTTPS only.
3 Serve all subdomains over HTTPS, specifically including the www subdomain if a DNS record for that subdomain exists.
4 Serve an HSTS header on the base domain:
Expiry must be at least eighteen weeks (10886400 seconds).
The includeSubdomains token must be specified.
The preload token must be specified.
If you are serving a redirect, that redirect must have the HSTS header, not the page it redirects to.
"""
Faut pas se chier dessus car on peut pas vraiment revenir en arrière.
"""
Be aware that inclusion in the preload list cannot really be undone. You can request to be removed, but it will take months for the deleted entry to reach users with a Chrome update and we cannot make guarantees about other browser vendors. Don't request inclusion unless you're sure that you can support HTTPS for the long term.
"""
Dans le cas de chromium, mettre du HSTS sur un site dont le certificat n'est pas reconnu (ou en tout cas pas ajouté aux magasins des certificats) empêchera purement et simplement l'accès au site. C'est pour cela que je n'en mets pas pour pub.jeekajoo.eu, car tout le monde n'a pas rajouté le root CA de cacert.org.
Rappel sur ce qu'est HSTS: https://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security
(Permalink)
Ajouter son site à la liste (https://code.google.com/p/chromium/codesearch#chromium/src/net/http/transport_security_state_static.json) maintenue par l'équipe de chromium et également utilisée par Firefox, Safari et bientôt le nouveau IE.
Conditions techniques:
"""
1 Have a valid certificate.
2 Redirect all HTTP traffic to HTTPS—i.e. be HTTPS only.
3 Serve all subdomains over HTTPS, specifically including the www subdomain if a DNS record for that subdomain exists.
4 Serve an HSTS header on the base domain:
Expiry must be at least eighteen weeks (10886400 seconds).
The includeSubdomains token must be specified.
The preload token must be specified.
If you are serving a redirect, that redirect must have the HSTS header, not the page it redirects to.
"""
Faut pas se chier dessus car on peut pas vraiment revenir en arrière.
"""
Be aware that inclusion in the preload list cannot really be undone. You can request to be removed, but it will take months for the deleted entry to reach users with a Chrome update and we cannot make guarantees about other browser vendors. Don't request inclusion unless you're sure that you can support HTTPS for the long term.
"""
Dans le cas de chromium, mettre du HSTS sur un site dont le certificat n'est pas reconnu (ou en tout cas pas ajouté aux magasins des certificats) empêchera purement et simplement l'accès au site. C'est pour cela que je n'en mets pas pour pub.jeekajoo.eu, car tout le monde n'a pas rajouté le root CA de cacert.org.
Rappel sur ce qu'est HSTS: https://fr.wikipedia.org/wiki/HTTP_Strict_Transport_Security
(Permalink)