Aller au contenu

Messages recommandés

Posté(e) (modifié)

J'ai retrouvé où il est question de ne pas activer HTST c'est dans le tuto du proxy inverse de Kawamashi. Il dit :

"Par contre, je déconseille le HSTS (c'est le navigateur qui enregistre cette information et il ne laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé)."

Alors je me pose la question (et je la pose aux autres membres) Faut-il activer HSTS ?

Je suis allé voir sur Qwant qui est mon copain et j'ai trouvé ceci :

https://www.ionos.fr/digitalguide/sites-internet/developpement-web/hsts-connexions-https-fiables-et-securisees/

 et en lisant cet article j'ai compris que, même avec une redirection http vers https, l'homme du milieu pouvais me nuire. Alors @MilesTEG1 je crois que je vais te suivre. 

Modifié par Jeff777
Posté(e)

Je ne l'active que dans les entrées du reverse proxy 😉

Sinon, j'ai pu virer les lignes du .htaccess pour PhotoStation vu que ça ne sert plus à grand chose dès lors qu'on a paramétré un port particulier pour Synology Photos.

Du coup, est-il utile de laisser la partie réécriture des URI en HTTPS ?

Posté(e) (modifié)
il y a 1 minute, MilesTEG1 a dit :

Je ne l'active que dans les entrées du reverse proxy

Où est-ce que tu l'actives si ce n'est pas dans les entrées du reverses proxy ?

 

Modifié par Jeff777
Posté(e)
il y a 9 minutes, MilesTEG1 a dit :

Je ne l'active que dans les entrées du reverse proxy

Donc HSTS est activé ou non   🤣😜🤪

Posté(e)
il y a 32 minutes, MilesTEG1 a dit :

Je pensais que tu avais saisi...

Si on m'explique longtemps, j'y arrive.

Donc il est préférable de l'activer pour toutes les entrées du reverse proxy ?

Posté(e)
il y a 13 minutes, Jeff777 a dit :

Si on m'explique longtemps, j'y arrive.

Donc il est préférable de l'activer pour toutes les entrées du reverse proxy ?

Ha ça par contre je sais pas… moi je le fais, mais est à conseiller … ?

Posté(e)
Il y a 8 heures, Einsteinium a dit :

Le hsts dans le temps non, maintenant oui sans aucun soucis et c’est même mieux !

Ok, donc je le laisse activé par défaut sur tous les domaines dans le reverse proxy 😉

Il y a 8 heures, Einsteinium a dit :

D’ailleurs vous pouvez même faire pré charger votre domaine pour qu’il passe directement en https auprès des navigateurs 🙂

https://hstspreload.org

Heu, là j'ai pas tout saisi... Faut faire comment pour "pré-charger le domaine" ?

Posté(e)

Houla c'est du costaud. Je vais finir de passer mes entrées du proxy inverse en HSTS puis je vais me concentrer sur la manière de passer le point 4 :

Serve an HSTS header on the base domain for HTTPS requests

ça mériterait un petit tuto 😉

Posté(e)
il y a 30 minutes, Jeff777 a dit :

Houla c'est du costaud. Je vais finir de passer mes entrées du proxy inverse en HSTS puis je vais me concentrer sur la manière de passer le point 4 :

Serve an HSTS header on the base domain for HTTPS requests

ça mériterait un petit tuto 😉

Même chose pour moi.
La partie simple est déjà faite, mais à partir du point n°4, je suis perdu.

il y a 28 minutes, .Shad. a dit :

Tout est décrit sur le lien donné par @Einsteinium

C'est peut-être très clair et facile pour vous, mais je t'avoue que pour moi (et probablement pour @Jeff777) c'est loin d'être clair...

Posté(e)

J'ai trouvé ça à ajouter dans le .htaccess qui pourrait correspondre à ce qui est présent dans le lien de @Einsteinium :

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Source : Synology - Forcer les connexions HTTPS (cachem.fr)

Mais ça semble ne pas être pris en compte :
j'ai ça dans le test https://www.ssllabs.com/ssltest/ :

Strict Transport Security (HSTS) Yes
max-age=15768000; includeSubdomains; preload
HSTS Preloading Not in: Chrome  Edge  Firefox  IE 

 

PS : mon .htaccess :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

 

Posté(e)

Avec dsm 7 j’ai vue que pour les sous domaine tout était bon, donc pour le site de base cela doit être pareil… en bref tu n’as qu’à mettre ton site et faire la validation…

Cachem… ce site qui sponsorise ses test, aucune valeur à mes yeux, je vais même pas voir x)

Posté(e)

@MilesTEG1 Le preload pour moi n'a d'intérêt que pour éviter que la première connexion à un site, si tu utilises HTTP dans l'URL, soit non chiffrée.
Je ne vois pas spécialement l'intérêt car généralement tu n'entres pas des credentials au chargement d'une page.

En revanche si tu as mis ton domaine racine et tous tes sous-domaines en preload, et que ton proxy inversé déconne, bonne chance pour arriver à te connecter depuis l'extérieur.

Posté(e)

@MilesTEG1

Bonjour,

MERCI BEAUCOUP  🤗😊 pour l'info de la ligne à ajouter dans le ".htaccess".

J'ai donc sur tes commentaires précédents :

  • activer le HSTS dans DSM (Panneau de configuration / Réseaux / Paramètres DSM / Domaine),
  • appliquer le HSTS à toutes mes règles de proxy inversé,
  • activer le HSTS dans Firefox (paramètres / Vie privées et sécurité / Mode HTTPS uniquement / Activer le mode HTTPS uniquement dans toutes les fenêtres),
  • enregistrer mon domaine sur le lien fourni par @Einsteinium (merci à lui pour l'info);

pour au final récupérer un "A+" sur le site https://www.ssllabs.com/ssltest/.

Je ne sais dire si cela a en est une conséquence, mais je constate depuis ces manipulations, une plus grande réactivité et plus de rapidité dans la navigation sur le net ...

Cordialement

oracle7😉

 

Posté(e)
il y a 5 minutes, .Shad. a dit :

Le preload pour moi n'a d'intérêt

Quand tu n’ouvres pas le port 80 qui concentre 95% des attaques, si un de tes utilisateurs ou toi même tapé directement le domaine, il passe directement en https.

 

il y a 5 minutes, oracle7 a dit :

MERCI BEAUCOUP  🤗😊 pour l'info de la ligne à ajouter dans le ".htaccess".

Que si dsm 6, sinon inutile avec dsm 7

Posté(e)

 

Il y a 1 heure, Einsteinium a dit :

Que si dsm 6, sinon inutile avec dsm 7

Tu as une idée du max-age avec DSM7. Je comprends que je risque d'être bloqué si je fais une erreur donc un max-age de moins d'une heure me va bien. C'est ce que je ferai avec DSM6 mais quid de DSM7 ?

 

Posté(e)

Oups, ça fait 6 mois si je me trompe pas. Tu connais un moyen de changer cela. Si on le change avec .htaccess c'est prioritaire ?

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.