Que s’est-il passé?
Comme vous l’aurez peut-être remarqué, mon blog est fourni sur une connexion sécurisée (c’est le texte: « https » en vert que vous pouvez remarquer dans la barre d’adresse), c’est grâce au certificat SSL gratuitement proposé par Let’s Encrypt. Avec ça, vous pouvez aller sur mon blog sur un réseau public sans vous soucier que quelqu’un vous espionne grâce à une attaque du type Man-in-the-Middle.
Lors d’une attaque de type Man-in-the-Middle, une personne se fait passer pour le réseau sur lequel vous essayez de vous connecter et récupère toutes les informations qui transitent.
Enfin, je dis « sans vous soucier », c’est ce qu’il est marqué sur le papier, rien n’est jamais vraiment sécurisé et c’est pour cela qu’il existe le HSTS …
Ce qui veut dire Http-Strict-Transport-Security.
… en gros, ça note directement votre site web sur un carnet d’adresse directement incorporé dans votre navigateur et vous promet donc encore plus de sécurité. Bref, on s’égare de notre sujet initial.
Aujourd’hui, j’ai mis à jour mon hébergement, je suis passé à un serveur avec plus de ressources (car j’en avais besoin :p) mais lors de cette mise à jour, pour une raison X et Y, j’ai dû régénérer mon fameux certificat SSL by Let’s Encrypt, régénération que j’ai effectué en « un clic », qui rime avec « problématique ». Un champ était erroné, le certificat l’a donc été aussi (erroné) et comme j’ai moi-même intégré un protocole de sécurité supplémentaire me permettant d’assurer que toutes mes ressources soient bien fournies sous une connexion sécurisée sous peine de suppression de cette dernière et bien … comme mes ressources n’étaient plus sécurisées, bye bye à mes ressources 😮 Heureusement, quand je disais « suppression », je parlais en fait de « suppression temporaire ».
PS: Je ne blâme pas Let’s Encrypt, la régénération en « un clic » ne vient pas d’eux :p
Les points utiles
Parlons un peu de l’activation du « mode » HSTS.
Attention, cette partie est dédiée aux programmeurs, intégrateurs et bidouilleurs expérimentés, je décline toute responsabilité que ça soit à cause d’une mauvaise manipulation ou un mauvais paramétrage. Je vous conseille vivement d’effectuer une sauvegarde avant de procéder à ce qui va suivre.
Vous devez disposer d’un fichier « .HTACCESS » sur votre serveur et y mettre le segment de codes suivant:
<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload"
</IfModule>
La partie entre les signes inférieurs et supérieurs (<ici></ici>) vérifie que le module Apache nécessaire à l’éxecution du code est bien activé, ce qu’il y a entre ces balises (<>ici</>) est nécessaire à l’activation du protocole HSTS. Une fois que vous avez apposé, enregistré et téléversé …
Téléversé est la traduction officielle d’upload.
… votre code sur le serveur, vous n’avez plus qu’à enregistrer votre domaine ici: 🔗 cliquez-ici pour être téléporté vers le site d’inscription à HSTS. La durée d’attente dépends de la validation ET de la mise-à-jour de votre navigateur Chrome ou Firefox.
Fin de la partie où je décline toute responsabilité.
Aucun commentaire
Soyez le premier à commenter :)