• # Non

    Posté par (site web personnel) . En réponse à l’entrée du suivi Support de HSTS. Évalué à 4 (+0/-0).

    Non, ce n'est pas possible. D'une part, nous ne voulons pas forcer tous nos utilisateurs à passer en HTTPS, d'autre part, cela pose de sérieux problèmes.

    Nous utilisons un certificat CaCert, qui n'est pas reconnu par défaut par la plupart des navigateurs. Avec HSTS, quand un navigateur voit un certificat qui ne lui semble pas valide, il affiche une page blanche au lieu de la page d'avertissement qui permet d'ajouter le certificat !

    À la place, nous utilisons une technique à base de cookies. Quand quelqu'un se connecte depuis la version HTTPS du site, ses cookies sont en mode secure. Cela veut dire qu'ils ne sont envoyés que quand on se connecte en HTTPS, pas en HTTP. Un autre cookie https, pas _secure celui-là, est également ajouté. Quand ce cookie est présent et que l'utilisateur demande une page en HTTP, il est automatiquement redirigé vers la page équivalent en HTTPS.

    Ainsi une personne qui s'est connecté en HTTPS peut utiliser le site normalement sans que son cookie de session ne circule en clair. Cela n'apporte pas autant les mêmes gages de sécurité que HSTS, mais est bien moins contraignant à mettre en place.