HSTS (https) par htaccess (redirection)

Discussion dans 'Référencement Google' créé par pchelp11, 22 Mars 2018.

Tags:
  1. pchelp11
    pchelp11 Nouveau WRInaute
    Inscrit:
    14 Décembre 2008
    Messages:
    14
    J'aime reçus:
    1
    Bonjour,
    Je possède un hébergement mutualisé.
    Le certificat https lets encrypt est activé et fonctionnel.
    J'utilise semr.. pour faire un audit.
    Là cela me dit que :
    "2 sous-domaines ne prennent pas en charge HSTS"
    en l'occurence :
    site.com
    et
    www.site.com

    Je veux passer par htaccess car je ne peux pas accéder au serveur en lui même.

    Voici déjà ce que j'ai dans ce fichier :

    <IfModule mod_headers.c>
    Header set Strict-Transport-Security "max-age=16006000; includeSubDomains; preload"
    </IfModule>

    Et si je teste sur https://hstspreload.org
    il m'affiche :
    Error: Subdomain`www.site.com` is a subdomain. Please preload `site.com` instead. (Due to the size of the preload list and the behaviour of cookies across subdomains, we only accept automated preload list submissions of whole registered domains.)

    puis
    Error: No HSTS headerResponse error: No HSTS header is present on the response.

    Quelqu'un aurtait une idée??
    Merci pour vos réponses
     
  2. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 078
    J'aime reçus:
    295
    Vérifie plutôt dans les entêtes HTTP via ton browser :

    [​IMG]
     
  3. pchelp11
    pchelp11 Nouveau WRInaute
    Inscrit:
    14 Décembre 2008
    Messages:
    14
    J'aime reçus:
    1
    Bonsoir, comme semr... et https://hstspreload.org me l'indique déjà ce n'est pas mentionné :
    Strict-Transport-Security => max-age=31536000; includeSubdomains; preload
    dans le header.

    Donc est-il possible de l'activer par htaccess sur un mutualisé chez phpnet?
     
  4. pchelp11
    pchelp11 Nouveau WRInaute
    Inscrit:
    14 Décembre 2008
    Messages:
    14
    J'aime reçus:
    1
    par contre sur un autre site que j'ai sur un serveur dedié, j'ai réussi à activer hsts via htaccess, et la ligne figure bien dans la réponse de l'entête. Par contre même sur ce site j'ai aussi un message d'erreur qui dit :
    Error: Subdomain`www.site.com` is a subdomain. Please preload `site.com` instead. (Due to the size of the preload list and the behaviour of cookies across subdomains, we only accept automated preload list submissions of whole registered domains.)

    Donc si quelqu'un à la solution pour ce message d'erreur ça serait cool merci.
     
  5. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 078
    J'aime reçus:
    295
    Cela n'a pourtant rien de chinois, pour la soumission pour être dans la liste HSTS preload, il faut que ce soit sans sous domaine.
     
  6. pchelp11
    pchelp11 Nouveau WRInaute
    Inscrit:
    14 Décembre 2008
    Messages:
    14
    J'aime reçus:
    1
    ben justement si je demande c'est que c'st un peu chinois pour moi. Une réponse avec exemple serait la bienvenue. Merci
     
  7. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 078
    J'aime reçus:
    295
  8. Thepouch
    Thepouch WRInaute discret
    Inscrit:
    26 Septembre 2009
    Messages:
    75
    J'aime reçus:
    0
    Spout, j'utilise Elementor et l'éditeur est appelé en http et pas https donc cela ne fonctionne pas car j'ai comme règle dans mon htaccess

    # HSTS
    Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPS
    Header always set X-Frame-Options "DENY"

    Any idea comment je pourrais créer une exception pour l'éditeur d'Elementor?
    Merci
    The Pouch
     
  9. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 078
    J'aime reçus:
    295
    @Thepouch : avec HSTS tu forces le client à utiliser HTTPS partout, sous domaines y compris.
    Soit tu n'utilises pas HSTS, soit tu fais la modif nécessaire dans Elementor pour le HTTPS, tu n'es surement pas le seul dans le cas.
     
Chargement...
Similar Threads - HSTS (https) htaccess Forum Date
HSTS erreur "No HSTS header is present on the response" Développement d'un site Web ou d'une appli mobile 14 Janvier 2019
Avertissements de sécurité SSL (HTTPS) dans Chrome 62 Développement d'un site Web ou d'une appli mobile 18 Août 2017