HSTS erreur "No HSTS header is present on the response"

[saluts92]

Bonjour,
J'ai codé dans mon fichier Htaccess
<IfModule mod_headers.c>
....
Header set Strict-Transport-Security "max-age=300; includeSubDomains; preload"
</IfModule>
Quand je teste sur le site https://hstspreload.org en indiquant bien que le domaine xxxxx.com
j'obtiens le message d'ereur suivant : "Response error: No HSTS header is present on the response"

dans mon htaccess quelques lignes plus loin je redirige toutes les URLs vers WWW.xxxxx.com
j'ai cru comprendre que c'était bloquant pour la validation HSTS
dans un premier temps, merci de me confirmer

et dans un 2ème temps il y a t-il une solution (sans enlever la redirection vers www) ?

d'avance merci

 

[rick38]

(oups)

J'ai le même souci en fait...

 

[colonies]

Header set Strict-Transport-Security "max-age=300; includeSubDomains; preload"
(...)
Quand je teste sur le site https://hstspreload.org en indiquant bien que le domaine xxxxx.com
j'obtiens le message d'ereur suivant : "Response error: No HSTS header is present on the response"

Dans les conditions pour être accepté, il est bien noté :

• The max-age must be at least 31536000 seconds (1 year).

Chez toi c'est 5 minutes.

 

[saluts92]

merci mais ce n'est pas le problème pour le moment, il est d'ailleurs conseillé de commencer à tester avec 300 secondes puis d'augmenter si tout va bien
là mon problème c'est qu'il ne voit meme pas la mise en place du HSTS (que j'ai codé dans mon fichier htaccess)
si je teste avec WWW.xxxxx.com il me dit qu'il le voit mais qu'il ne faut pas faire ça sur le sous somaine (ce qui est normal)

 

[spout]

Et dans les entêtes HTTP via ton browser tu le vois cet entête ?
Ex:

 

[saluts92]

oui

mais je n'ai pas vary:accept-encoding

 

[spout]

N'en tiens pas compte, c'est sur mon screenshot mais rien à voir.

 

[saluts92]

ok donc j'ai bien la ligne demandée dans mon header

 

[spout]

si je teste avec WWW.xxxxx.com il me dit qu'il le voit

C'est good alors.

 

[saluts92]

saut que https://hstspreload.org me dit que c'est pas good

j'ai regardé le site WRI (et d'autres) par exemple, et pour lui https://hstspreload.org reconnait bien le HSTS

 

[spout]

Sans URL on va encore tourner autour du pot longtemps

 

[saluts92]

j'ai retiré la directive du htaccess
en effet tant que ne je comprendrais pas ce message, cela ne me rassure pas de laisser qqe chose de bancale sur mon site
sinon je t'envoie quand meme mon site en message privée

 

[colonies]

merci mais ce n'est pas le problème pour le moment, il est d'ailleurs conseillé de commencer à tester avec 300 secondes puis d'augmenter si tout va bien

Si si, c'est bien ton problème. https://hstspreload.org s'utilise après avoir tout testé et avoir défini un max-age d'un an minimum. Tant que tu n'en es pas là, tu n'as aucune raison de tester si ton site peut être inclus.

 

[saluts92]

Si si, c'est bien ton problème

non non

le sujet dérive (comme souvent), ma première question n'était pas de validé ou non mon HSTS mais de savoir s'il était bien codé et il semble qu'il y ait un conflit entre la redirection systémtaique vers www.xxxx.com (pour éviter le duplicate content) et la directive Header set Strict-Transport-Security "max-age=300; includeSubDomains; preload"

c'est uniquement cela que je souhaite confirmer ou non

 

[eldk]

Bonjour,

Si tu as accès au fichier de configuration de ton hôte virtuel, il faut configurer HSTS dans ce fichier pour tondomaine.tld et ne pas y faire de redirection directe vers www.tondomaine.tld.

Tu peux ensuite faire la redirection vers www.tondomaine.tld dans le .htaccess comme habituellement.

La validation ne se fait que pour le domaine principal et ainsi tous les éventuels sous-domaine. Si celui-ci n'est pas accessible et configuré, la validation est systématiquement refusée.

Il y a eu quelques exceptions, pour Amazon, Google ... Elles sont rares.

Si certains sous-domaines doivent rester accessibles en http, il ne faut pas utiliser le preload : ces domaines seraient rendus inaccessibles.

Cordialement,

Eric

PS : pour la durée de max-age, colonie a vu juste. Passer la durée à un an quand tu es sur que toutes tes pages, sous-domaines ... fonctionnent correctement en https, pour activer ton ajout à la liste.

 

[saluts92]

merci eldk pour ta réponse précise
si j'ai bien compris, pour éviter le conflit, il faut paramètrer la directive au niveau du serveur et non du htaccess

sinon pour info je ne tiens pas à être validé dans la liste hstspreload (en tout cas pour l'instant) : en effet cela semble dangeureux car plus de machine arrière possible. C'est pour cela que je laisse un timeout asses court

 

[colonies]

merci eldk pour ta réponse précise
si j'ai bien compris, pour éviter le conflit, il faut paramètrer la directive au niveau du serveur et non du htaccess

Peu importe que ce soit via un .htaccess, tant que le header est envoyé sur ton https://domain.tld, c'est tout ce qui compte.

 

[saluts92]

Peu importe que ce soit via un .htaccess, tant que le header est envoyé sur ton https://domain.tld, c'est tout ce qui compte.

d'ou ma première question !!
hstspreload me dit que ce n'est pas envoyé sur le domaine xxxxx.com à cause du conflit de redirection

 

[colonies]

D'où la réponse de eldk : on s'en fiche qu'il y ait une redirection derrière. Je le fais sur mes sites, et eux sont validés par hstspreload.
Es-tu certain que ton header est envoyé ? => https://observatory.mozilla.org

 

[saluts92]

oui le header est envoyé et j'ai un message quand meme

as tu un ordre particulier dans ton htaccess ?

 

[eldk]

Il y a un exemple de "redirection en 2 temps" avec le .htaccess, sans avoir à modifier la conf de l'hôte virtuel. ici : https://www.danielmorell.com/blog/how-to-configure-hsts-on-www-and-other-subdomains

Le principe est le même :
1 - domain.tld:80 -> domain.tld:443
2 - domain.tld:443 -> www.domain.tld:443

 

[saluts92]

Il y a un exemple de "redirection en 2 temps" avec le .htaccess, sans avoir à modifier la conf de l'hôte virtuel. ici : https://www.danielmorell.com/blog/how-to-configure-hsts-on-www-and-other-subdomains

quel classe eldh !!!!! c'est le document qui répond parfaitement à ma question , merci beaucoup

je l'ai implémenté ce matin et je passe tous les tests

merci encore

PS : ne pas utiliser env=HTTPS dans la directive qui ne fonctionne pas bien