HSTS (https) par htaccess (redirection)

Nouveau WRInaute
Bonjour,
Je possède un hébergement mutualisé.
Le certificat https lets encrypt est activé et fonctionnel.
J'utilise semr.. pour faire un audit.
Là cela me dit que :
"2 sous-domaines ne prennent pas en charge HSTS"
en l'occurence :
site.com
et
www.site.com

Je veux passer par htaccess car je ne peux pas accéder au serveur en lui même.

Voici déjà ce que j'ai dans ce fichier :

<IfModule mod_headers.c>
Header set Strict-Transport-Security "max-age=16006000; includeSubDomains; preload"
</IfModule>

Et si je teste sur https://hstspreload.org
il m'affiche :
Error: Subdomain`www.site.com` is a subdomain. Please preload `site.com` instead. (Due to the size of the preload list and the behaviour of cookies across subdomains, we only accept automated preload list submissions of whole registered domains.)

puis
Error: No HSTS headerResponse error: No HSTS header is present on the response.

Quelqu'un aurtait une idée??
Merci pour vos réponses
 
WRInaute accro
Vérifie plutôt dans les entêtes HTTP via ton browser :

e42yDfj.png
 
Nouveau WRInaute
Bonsoir, comme semr... et https://hstspreload.org me l'indique déjà ce n'est pas mentionné :
Strict-Transport-Security => max-age=31536000; includeSubdomains; preload
dans le header.

Donc est-il possible de l'activer par htaccess sur un mutualisé chez phpnet?
 
Nouveau WRInaute
par contre sur un autre site que j'ai sur un serveur dedié, j'ai réussi à activer hsts via htaccess, et la ligne figure bien dans la réponse de l'entête. Par contre même sur ce site j'ai aussi un message d'erreur qui dit :
Error: Subdomain`www.site.com` is a subdomain. Please preload `site.com` instead. (Due to the size of the preload list and the behaviour of cookies across subdomains, we only accept automated preload list submissions of whole registered domains.)

Donc si quelqu'un à la solution pour ce message d'erreur ça serait cool merci.
 
WRInaute accro
Cela n'a pourtant rien de chinois, pour la soumission pour être dans la liste HSTS preload, il faut que ce soit sans sous domaine.
 
Nouveau WRInaute
ben justement si je demande c'est que c'st un peu chinois pour moi. Une réponse avec exemple serait la bienvenue. Merci
 
WRInaute discret
Spout, j'utilise Elementor et l'éditeur est appelé en http et pas https donc cela ne fonctionne pas car j'ai comme règle dans mon htaccess

# HSTS
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" env=HTTPS
Header always set X-Frame-Options "DENY"

Any idea comment je pourrais créer une exception pour l'éditeur d'Elementor?
Merci
The Pouch
 
WRInaute accro
@Thepouch : avec HSTS tu forces le client à utiliser HTTPS partout, sous domaines y compris.
Soit tu n'utilises pas HSTS, soit tu fais la modif nécessaire dans Elementor pour le HTTPS, tu n'es surement pas le seul dans le cas.
 
Discussions similaires
C
Réponses
4
Affichages
1K
christele2
C
Haut