HSTS erreur "No HSTS header is present on the response"

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par saluts92, 14 Janvier 2019.

  1. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    632
    J'aime reçus:
    21
    Bonjour,
    J'ai codé dans mon fichier Htaccess
    <IfModule mod_headers.c>
    ....
    Header set Strict-Transport-Security "max-age=300; includeSubDomains; preload"
    </IfModule>
    Quand je teste sur le site https://hstspreload.org en indiquant bien que le domaine xxxxx.com
    j'obtiens le message d'ereur suivant : "Response error: No HSTS header is present on the response"

    dans mon htaccess quelques lignes plus loin je redirige toutes les URLs vers WWW.xxxxx.com
    j'ai cru comprendre que c'était bloquant pour la validation HSTS
    dans un premier temps, merci de me confirmer

    et dans un 2ème temps il y a t-il une solution (sans enlever la redirection vers www) ?

    d'avance merci
     
  2. rick38
    rick38 WRInaute passionné
    Inscrit:
    23 Février 2013
    Messages:
    1 062
    J'aime reçus:
    108
    (oups)

    J'ai le même souci en fait...
     
    #2 rick38, 14 Janvier 2019
    Dernière édition: 14 Janvier 2019
  3. colonies
    colonies WRInaute occasionnel
    Inscrit:
    10 Septembre 2006
    Messages:
    442
    J'aime reçus:
    36
    Dans les conditions pour être accepté, il est bien noté :
    • The max-age must be at least 31536000 seconds (1 year).
    Chez toi c'est 5 minutes.
     
  4. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    632
    J'aime reçus:
    21
    merci mais ce n'est pas le problème pour le moment, il est d'ailleurs conseillé de commencer à tester avec 300 secondes puis d'augmenter si tout va bien
    là mon problème c'est qu'il ne voit meme pas la mise en place du HSTS (que j'ai codé dans mon fichier htaccess)
    si je teste avec WWW.xxxxx.com il me dit qu'il le voit mais qu'il ne faut pas faire ça sur le sous somaine (ce qui est normal)
     
  5. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 734
    J'aime reçus:
    233
    Et dans les entêtes HTTP via ton browser tu le vois cet entête ?
    Ex:
    [​IMG]
     
  6. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    632
    J'aime reçus:
    21
    oui

    mais je n'ai pas vary:accept-encoding
     
  7. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 734
    J'aime reçus:
    233
    N'en tiens pas compte, c'est sur mon screenshot mais rien à voir.
     
  8. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    632
    J'aime reçus:
    21
    ok donc j'ai bien la ligne demandée dans mon header
     
  9. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 734
    J'aime reçus:
    233
    C'est good alors.
     
  10. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    632
    J'aime reçus:
    21
  11. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 734
    J'aime reçus:
    233
    Sans URL on va encore tourner autour du pot longtemps ;)
     
  12. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    632
    J'aime reçus:
    21
    j'ai retiré la directive du htaccess
    en effet tant que ne je comprendrais pas ce message, cela ne me rassure pas de laisser qqe chose de bancale sur mon site
    sinon je t'envoie quand meme mon site en message privée
     
  13. colonies
    colonies WRInaute occasionnel
    Inscrit:
    10 Septembre 2006
    Messages:
    442
    J'aime reçus:
    36
    Si si, c'est bien ton problème. https://hstspreload.org s'utilise après avoir tout testé et avoir défini un max-age d'un an minimum. Tant que tu n'en es pas là, tu n'as aucune raison de tester si ton site peut être inclus.
     
  14. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    632
    J'aime reçus:
    21
    non non

    le sujet dérive (comme souvent), ma première question n'était pas de validé ou non mon HSTS mais de savoir s'il était bien codé et il semble qu'il y ait un conflit entre la redirection systémtaique vers www.xxxx.com (pour éviter le duplicate content) et la directive Header set Strict-Transport-Security "max-age=300; includeSubDomains; preload"

    c'est uniquement cela que je souhaite confirmer ou non
     
  15. eldk
    eldk WRInaute discret
    Inscrit:
    23 Juillet 2003
    Messages:
    121
    J'aime reçus:
    11
    Bonjour,

    Si tu as accès au fichier de configuration de ton hôte virtuel, il faut configurer HSTS dans ce fichier pour tondomaine.tld et ne pas y faire de redirection directe vers www.tondomaine.tld.

    Tu peux ensuite faire la redirection vers www.tondomaine.tld dans le .htaccess comme habituellement.

    La validation ne se fait que pour le domaine principal et ainsi tous les éventuels sous-domaine. Si celui-ci n'est pas accessible et configuré, la validation est systématiquement refusée.

    Il y a eu quelques exceptions, pour Amazon, Google ... Elles sont rares.

    Si certains sous-domaines doivent rester accessibles en http, il ne faut pas utiliser le preload : ces domaines seraient rendus inaccessibles.

    Cordialement,

    Eric

    PS : pour la durée de max-age, colonie a vu juste. Passer la durée à un an quand tu es sur que toutes tes pages, sous-domaines ... fonctionnent correctement en https, pour activer ton ajout à la liste.
     
    #15 eldk, 15 Janvier 2019
    Dernière édition: 15 Janvier 2019
  16. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    632
    J'aime reçus:
    21
    merci eldk pour ta réponse précise
    si j'ai bien compris, pour éviter le conflit, il faut paramètrer la directive au niveau du serveur et non du htaccess

    sinon pour info je ne tiens pas à être validé dans la liste hstspreload (en tout cas pour l'instant) : en effet cela semble dangeureux car plus de machine arrière possible. C'est pour cela que je laisse un timeout asses court
     
  17. colonies
    colonies WRInaute occasionnel
    Inscrit:
    10 Septembre 2006
    Messages:
    442
    J'aime reçus:
    36
    Peu importe que ce soit via un .htaccess, tant que le header est envoyé sur ton https://domain.tld, c'est tout ce qui compte.
     
  18. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    632
    J'aime reçus:
    21
    d'ou ma première question !!
    hstspreload me dit que ce n'est pas envoyé sur le domaine xxxxx.com à cause du conflit de redirection
     
  19. colonies
    colonies WRInaute occasionnel
    Inscrit:
    10 Septembre 2006
    Messages:
    442
    J'aime reçus:
    36
    D'où la réponse de eldk : on s'en fiche qu'il y ait une redirection derrière. Je le fais sur mes sites, et eux sont validés par hstspreload.
    Es-tu certain que ton header est envoyé ? => https://observatory.mozilla.org
     
  20. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    632
    J'aime reçus:
    21
    oui le header est envoyé et j'ai un message quand meme

    as tu un ordre particulier dans ton htaccess ?
     
  21. eldk
    eldk WRInaute discret
    Inscrit:
    23 Juillet 2003
    Messages:
    121
    J'aime reçus:
    11
    #21 eldk, 15 Janvier 2019
    Dernière édition: 15 Janvier 2019
  22. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    632
    J'aime reçus:
    21
    quel classe eldh !!!!! c'est le document qui répond parfaitement à ma question , merci beaucoup

    je l'ai implémenté ce matin et je passe tous les tests

    merci encore

    PS : ne pas utiliser env=HTTPS dans la directive qui ne fonctionne pas bien
     
Chargement...
Similar Threads - HSTS erreur HSTS Forum Date
HSTS (https) par htaccess (redirection) Référencement Google 22 Mars 2018
Search Console L'URL envoyée contient une erreur d'exploration (erreur couverture) Crawl et indexation Google, sitemaps 12 Août 2019
285 pages en Erreur 5xx ??? Débuter en référencement 28 Juillet 2019
[Google shopping] Erreur "description" dans diagnostic du module "google merchant center pro" e-commerce 26 Juillet 2019
Erreur serveur Miami Crawl et indexation Google, sitemaps 19 Juin 2019
Erreur 404 car rajout de code dans une redirection Netlinking, backlinks, liens et redirections 6 Mai 2019
rewriteRule sur wamp erreur 404 URL Rewriting et .htaccess 20 Avril 2019
Que signifie cet erreur ? Le café de WebRankInfo 5 Avril 2019
Erreur PHP Fatal error: Allowed memory size of ... bytes exhausted Demandes d'avis et de conseils sur vos sites 23 Mars 2019
Erreur de couverture serveur (5xx) Débuter en référencement 23 Mars 2019
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice