Définition : HSTS et HTTPS

HSTS, ou Strict Transport Security, est une politique de sécurité pour un domaine (site internet) qui garantit que les connexions entre votre navigateur et un site sont sécurisées. Lorsqu’un site est configuré avec HSTS, il utilise uniquement HTTPS pour les connexions sécurisées, garantissant ainsi que toutes les données échangées entre le navigateur et le site sont chiffrées et protégées contre les attaques.

HSTS aide également à prévenir les attaques de type « Man in the Middle », où un attaquant intercepte les communications entre le navigateur et le site pour voler des informations sensibles telles que les mots de passe ou les informations de carte de crédit.

Qu'est-ce que HTTPS ?

HTTPS est un protocole de sécurité qui utilise le protocole SSL/TLS pour chiffrer les communications entre le navigateur et le site. 

Lorsqu’un site utilise HTTPS, une icône de cadenas s’affiche dans la barre d’adresse du navigateur pour indiquer que la connexion est sécurisée. Cela permet aux utilisateurs de savoir que le site est légitime et qu’il est sûr d’entrer des informations sensibles telles que des mots de passe ou des informations de carte de crédit.

Qu'est-ce que HTTP ?

HTTP est un protocole de communication entre les serveurs et les navigateurs. Il permet aux navigateurs d’envoyer des requêtes aux serveurs (hébergement) pour récupérer des pages d’un site.

Cependant, contrairement à HTTPS, HTTP ne chiffre pas les communications entre le navigateur et le site. Cela signifie que les données échangées entre le navigateur et le site peuvent être interceptées par des attaquants, exposant ainsi les informations sensibles des utilisateurs.

Pourquoi HSTS et HTTPS sont importants pour votre référencement

L’utilisation de HSTS et HTTPS est importante pour votre référencement car elle garantit que votre site Web est sécurisé et protégé contre les attaques. Cela peut également améliorer la confiance des utilisateurs dans votre site Web et améliorer les taux de conversion.

Les moteurs de recherche comme Google ont déclaré qu’ils favorisent les sites sécurisés utilisant HTTPS dans leurs résultats de recherche. Cela signifie que si votre site n’est pas sécurisé, il peut être pénalisé dans les résultats de recherche, réduisant ainsi votre visibilité et votre trafic.

Comment mettre en place une politique de sécurité HSTS sur son site ?

Configurer HSTS : Configurez HSTS sur votre site Web pour garantir que toutes les connexions sont sécurisées et utilisent HTTPS. Vous pouvez configurer HSTS en ajoutant un en-tête Strict-Transport-Security à vos réponses HTTP.

Exemple sur un serveur Apache :

  1. Ouvrez le fichier de configuration d’Apache (généralement nommé httpd.conf ou apache2.conf) avec un éditeur de texte.
  2. Assurez-vous que le module headers est activé. S’il ne l’est pas, décommentez la ligne suivante (supprimez le « # » en début de ligne) :
LoadModule headers_module modules/mod_headers.so

Ajoutez la directive HSTS dans la section <VirtualHost> pour votre site :

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Enregistrez les modifications et redémarrez Apache.

Exemple sur un serveur Nginx :

  1. Ouvrez le fichier de configuration de Nginx (généralement nommé nginx.conf) avec un éditeur de texte.
  2. Ajoutez la directive HSTS dans le bloc server pour votre site :
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Enregistrez les modifications et redémarrez Nginx.

Testez votre configuration :

  • Visitez votre site web en utilisant un navigateur et assurez-vous que la connexion est sécurisée (icône de cadenas dans la barre d’adresse).
  • Vous pouvez également utiliser des outils en ligne comme HSTS Preload pour vérifier que le HSTS est correctement configuré sur votre site.

La valeur max-age indique la durée de vie du HSTS en secondes. Dans l’exemple ci-dessus, nous avons utilisé 31536000 secondes, soit un an. Vous pouvez ajuster cette valeur selon vos besoins. L’option includeSubDomains signifie que le HSTS s’applique également à tous les sous-domaines du domaine principal. Par exemple si votre site internet est en www.exemple.com vous devez inclure la valeur de l’option.