Ainfographie.com logo animé
Forcer la connexion sécurisée sur un site Internet avec HSTS : Http Strict Transport Security

Forcer la connexion HTTPS d’un site Web avec HSTS

Depuis l’année 2017, il est obligatoire pour tous les sites Internet de disposer d’une connexion sécurisée HTTPS. Google impose en effet que tout site Web soit sécurisé avec un certificat SSL, et cette règle devenue indérogeable figure désormais parmi les innombrables critères à respecter pour optimiser au mieux le référencement naturel d’un site Internet. Tout site Web qui est encore accessible aujourd’hui via http:// plutôt que via https:// s’en trouve pénalisé dans l’indexation de son contenu par le moteur de recherches Google.

C’est quoi un certificat SSL et HTTPS ?

Commençons par le commencement : qu’est-ce qu’un certificat SSL ? Un certificat SSL c’est un fichier qui contient une clé cryptée, ou clé cryptographique, qui se rapporte à une entreprise, une entité ou un individu. Le certificat SSL doit être installé sur le serveur d’hébergement du site Web auquel il se rapporte, afin de pouvoir octroyer la possibilité de se connecter au site via HTTPS. Il y a encore un peu moins de deux ans, lorsque la connexion aux sites Web via HTTPS n’était pas démocratisée (ou plutôt imposée), les seuls sites Internet qui l’utilisaient systématiquement étaient les sites Web de paiement en ligne, comme Paypal par exemple. Depuis, la plupart des sites Internet ont observé les directives imposées par Google et consorts sur ce point, et seuls les “mauvais élèves”, ou “cancres du Web”, ne respectent pas encore ce précepte, pourtant obligatoire. La connexion sécurisée via HTTPS n’est donc plus l’apanage des plateformes de paiement en ligne mais est bel et bien devenue un standard à respecter scrupuleusement, sous peine de voir son site Internet sanctionné dans les résultats des moteurs de recherches. Le certificat SSL sécurise donc la connexion à un site Internet : lorsqu’un site Web possède un certificat SSL, un cadenas est affiché dans le champ de saisie de l’URL et l’URL du site commence par https:// au lieu de http://. HTTPS signifie HyperText Transfer Protocol Secure, ou protocole de transfert hypertextuel sécurisé en français : c’est la combinaison du HTTP avec la couche de chiffrement du certificat SSL. Dorénavant le navigateur Web affiche un message d’avertissement à l’internaute lorsqu’il se connecte à un site via HTTP, l’avertissant ainsi du caractère non sécurisé dudit site Web.

HSTS : HTTP Strict Transport Security

Le HTTP Strict Transport Security, plus simplement appelé HSTS en tant que sigle, est une directive que le serveur Web indique au navigateur Internet pour interagir avec lui. En ce sens le HTTP Strict Transport Security donne la marche à suivre aux navigateurs pour afficher les pages d’un site Internet, et cette marche à suivre est communiquée par le biais de l’entête de chacune des pages d’un site Web. Le HSTS permet donc de forcer la connexion en https et va bloquer toutes les requêtes qui sont effectuées en http pour les rediriger vers https. Effectivement le fait d’intégrer un certificat SSL permettant la connexion à un site Web en https ne garantit pas pour autant que les pages dudit site ne sont plus accessibles en http, et c’est bien là le problème : même si votre site Web est sécurisé en “façade”, si l’accès via http reste possible alors les attaques de hackers par cet accès demeurent également possibles.

Intégrer HTTP Strict Transport Security à votre site Internet

L’intégration d’HTTP Strict Transport Security à votre site Internet est pertinente pour les raisons évoquées plus haut, mais l’est aussi car HSTS est devenu un critère que les moteurs de recherches prennent en considération pour le référencement naturel. Gage de qualité et de sécurité, HSTS permet à votre site Web d’être considéré comme un site Internet fiable et respectueux des normes à observer, favorisant ainsi son indexation dans les résultats de recherches. Intégrer HSTS à votre site Internet ne peut être que bénéfique : ce n’est certes qu’un critère à respecter parmi d’autres comme par exemple la vitesse de chargement des pages, la bonne hiérarchie des balises, le bon choix des mots-clés, mais plus un site Internet respectera les règles édictées plus il aura de chances de bénéficier d’une bonne indexation.

Intégrer HSTS sur un site WordPress

L’intégration de HSTS sur un site WordPress peut être effectuée par le biais d’une extension dédiée à cet effet. Pour identifier les extensions permettant de ce faire il vous suffit de suivre le lien ci-après :

https://fr.wordpress.org/plugins/search/hsts/

Essayez-les et faites-vous votre idée sur chacune d’entre elles. Pour ma part j’avais trouvé l’extension HTTP headers to improve web site security plutôt sympathique, parce qu’elle permet de masquer certaines informations comme la version de PHP par exemple.

Toutefois la méthode la plus radicale et efficace à mon sens consiste à éditer le fichier .htaccess situé à la racine de votre site Web (c’est ni plus ni moins ce que font les extensions WordPress en définitive…), c’est ainsi moins coûteux en ressources pour votre installation WordPress. Pour ce faire ajouter les directives suivantes à votre fichier .htaccess :

<IfModule mod_headers.c>
Header set Strict-Transport-Security: “max-age=63072000; includeSubDomains; preload”
</IfModule>

La valeur 63072000 correspond au délai d’expiration et signifie que celui-ci vaut 2 ans. Cette valeur doit être respectée pour pouvoir prétendre figurer dans la liste des sites qui se rattache au projet Chromium, un projet qui vise les navigateurs Google Chrome, Firefox et Safari. Pour postuler à cette liste il suffit de suivre ce lien :

https://hstspreload.org/

Si votre site Internet montre patte blanche, il sera habilité à y figurer dès validation de sa postulation.

Outil pour tester HSTS sur un site Internet

Il existe plusieurs outils gratuits qui permettent de tester la bonne mise en place de HTTP Strict Transport Security sur un site Web, mais SecurityHeaders demeure l’un de mes préférés car il s’avère être fiable. Le fonctionnement est très simple : il suffit de coller le nom de domaine dans le champ prévu à cet effet puis de scanner le site en cliquant sur le bouton “scan”. La note maximale est le A+, c’est donc cette note qu’il vous faut viser ! Pour tester HSTS sur votre site Web, suivez le lien ci-après :

https://securityheaders.com/

Et si comme moi vous avez bien implémenté HSTS sur votre site Web, vous devriez obtenir A+.

Vous devez vous connecter pour publier un commentaire.
Menu