HSTS erreur "No HSTS header is present on the response"

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par saluts92, 14 Janvier 2019.

  1. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    776
    J'aime reçus:
    30
    Bonjour,
    J'ai codé dans mon fichier Htaccess
    <IfModule mod_headers.c>
    ....
    Header set Strict-Transport-Security "max-age=300; includeSubDomains; preload"
    </IfModule>
    Quand je teste sur le site https://hstspreload.org en indiquant bien que le domaine xxxxx.com
    j'obtiens le message d'ereur suivant : "Response error: No HSTS header is present on the response"

    dans mon htaccess quelques lignes plus loin je redirige toutes les URLs vers WWW.xxxxx.com
    j'ai cru comprendre que c'était bloquant pour la validation HSTS
    dans un premier temps, merci de me confirmer

    et dans un 2ème temps il y a t-il une solution (sans enlever la redirection vers www) ?

    d'avance merci
     
  2. rick38
    rick38 WRInaute passionné
    Inscrit:
    23 Février 2013
    Messages:
    1 401
    J'aime reçus:
    179
    (oups)

    J'ai le même souci en fait...
     
    #2 rick38, 14 Janvier 2019
    Dernière édition: 14 Janvier 2019
  3. colonies
    colonies WRInaute impliqué
    Inscrit:
    10 Septembre 2006
    Messages:
    530
    J'aime reçus:
    62
    Dans les conditions pour être accepté, il est bien noté :
    • The max-age must be at least 31536000 seconds (1 year).
    Chez toi c'est 5 minutes.
     
  4. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    776
    J'aime reçus:
    30
    merci mais ce n'est pas le problème pour le moment, il est d'ailleurs conseillé de commencer à tester avec 300 secondes puis d'augmenter si tout va bien
    là mon problème c'est qu'il ne voit meme pas la mise en place du HSTS (que j'ai codé dans mon fichier htaccess)
    si je teste avec WWW.xxxxx.com il me dit qu'il le voit mais qu'il ne faut pas faire ça sur le sous somaine (ce qui est normal)
     
  5. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 960
    J'aime reçus:
    278
    Et dans les entêtes HTTP via ton browser tu le vois cet entête ?
    Ex:
    [​IMG]
     
  6. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    776
    J'aime reçus:
    30
    oui

    mais je n'ai pas vary:accept-encoding
     
  7. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 960
    J'aime reçus:
    278
    N'en tiens pas compte, c'est sur mon screenshot mais rien à voir.
     
  8. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    776
    J'aime reçus:
    30
    ok donc j'ai bien la ligne demandée dans mon header
     
  9. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 960
    J'aime reçus:
    278
    C'est good alors.
     
  10. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    776
    J'aime reçus:
    30
  11. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 960
    J'aime reçus:
    278
    Sans URL on va encore tourner autour du pot longtemps ;)
     
  12. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    776
    J'aime reçus:
    30
    j'ai retiré la directive du htaccess
    en effet tant que ne je comprendrais pas ce message, cela ne me rassure pas de laisser qqe chose de bancale sur mon site
    sinon je t'envoie quand meme mon site en message privée
     
  13. colonies
    colonies WRInaute impliqué
    Inscrit:
    10 Septembre 2006
    Messages:
    530
    J'aime reçus:
    62
    Si si, c'est bien ton problème. https://hstspreload.org s'utilise après avoir tout testé et avoir défini un max-age d'un an minimum. Tant que tu n'en es pas là, tu n'as aucune raison de tester si ton site peut être inclus.
     
  14. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    776
    J'aime reçus:
    30
    non non

    le sujet dérive (comme souvent), ma première question n'était pas de validé ou non mon HSTS mais de savoir s'il était bien codé et il semble qu'il y ait un conflit entre la redirection systémtaique vers www.xxxx.com (pour éviter le duplicate content) et la directive Header set Strict-Transport-Security "max-age=300; includeSubDomains; preload"

    c'est uniquement cela que je souhaite confirmer ou non
     
  15. eldk
    eldk WRInaute discret
    Inscrit:
    23 Juillet 2003
    Messages:
    136
    J'aime reçus:
    13
    Bonjour,

    Si tu as accès au fichier de configuration de ton hôte virtuel, il faut configurer HSTS dans ce fichier pour tondomaine.tld et ne pas y faire de redirection directe vers www.tondomaine.tld.

    Tu peux ensuite faire la redirection vers www.tondomaine.tld dans le .htaccess comme habituellement.

    La validation ne se fait que pour le domaine principal et ainsi tous les éventuels sous-domaine. Si celui-ci n'est pas accessible et configuré, la validation est systématiquement refusée.

    Il y a eu quelques exceptions, pour Amazon, Google ... Elles sont rares.

    Si certains sous-domaines doivent rester accessibles en http, il ne faut pas utiliser le preload : ces domaines seraient rendus inaccessibles.

    Cordialement,

    Eric

    PS : pour la durée de max-age, colonie a vu juste. Passer la durée à un an quand tu es sur que toutes tes pages, sous-domaines ... fonctionnent correctement en https, pour activer ton ajout à la liste.
     
    #15 eldk, 15 Janvier 2019
    Dernière édition: 15 Janvier 2019
  16. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    776
    J'aime reçus:
    30
    merci eldk pour ta réponse précise
    si j'ai bien compris, pour éviter le conflit, il faut paramètrer la directive au niveau du serveur et non du htaccess

    sinon pour info je ne tiens pas à être validé dans la liste hstspreload (en tout cas pour l'instant) : en effet cela semble dangeureux car plus de machine arrière possible. C'est pour cela que je laisse un timeout asses court
     
  17. colonies
    colonies WRInaute impliqué
    Inscrit:
    10 Septembre 2006
    Messages:
    530
    J'aime reçus:
    62
    Peu importe que ce soit via un .htaccess, tant que le header est envoyé sur ton https://domain.tld, c'est tout ce qui compte.
     
  18. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    776
    J'aime reçus:
    30
    d'ou ma première question !!
    hstspreload me dit que ce n'est pas envoyé sur le domaine xxxxx.com à cause du conflit de redirection
     
  19. colonies
    colonies WRInaute impliqué
    Inscrit:
    10 Septembre 2006
    Messages:
    530
    J'aime reçus:
    62
    D'où la réponse de eldk : on s'en fiche qu'il y ait une redirection derrière. Je le fais sur mes sites, et eux sont validés par hstspreload.
    Es-tu certain que ton header est envoyé ? => https://observatory.mozilla.org
     
  20. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    776
    J'aime reçus:
    30
    oui le header est envoyé et j'ai un message quand meme

    as tu un ordre particulier dans ton htaccess ?
     
  21. eldk
    eldk WRInaute discret
    Inscrit:
    23 Juillet 2003
    Messages:
    136
    J'aime reçus:
    13
    #21 eldk, 15 Janvier 2019
    Dernière édition: 15 Janvier 2019
  22. saluts92
    saluts92 WRInaute impliqué
    Inscrit:
    12 Avril 2006
    Messages:
    776
    J'aime reçus:
    30
    quel classe eldh !!!!! c'est le document qui répond parfaitement à ma question , merci beaucoup

    je l'ai implémenté ce matin et je passe tous les tests

    merci encore

    PS : ne pas utiliser env=HTTPS dans la directive qui ne fonctionne pas bien
     
Chargement...
Similar Threads - HSTS erreur HSTS Forum Date
HSTS (https) par htaccess (redirection) Référencement Google 22 Mars 2018
Erreur : Cette URL n'a pas été indexée par Google Crawl et indexation Google, sitemaps 31 Mars 2020
WordPress Cloner mon site, les erreurs à éviter Développement d'un site Web ou d'une appli mobile 3 Mars 2020
Pages zombies mises en Noindex indiquées en erreur 4xx Référencement Google 17 Février 2020
Résolu Indexation : Erreur 503 et Qwant Autres moteurs de recherche connus 16 Février 2020
Redirection http vers https, erreur. URL Rewriting et .htaccess 8 Février 2020
Erreur taux de conversion commerce électronique dans Google Analytics Google Analytics 18 Janvier 2020
Erreur 410 .htacess URL Rewriting et .htaccess 27 Décembre 2019
Search Console URL envoyée contient une erreur d'exploration Problèmes de référencement spécifiques à vos sites 23 Décembre 2019
Erreur 404 perso : comment éviter qu'elle soit indexée ? Administration d'un site Web 1 Décembre 2019
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice