Alerte : Unnecessary HSTS header over HTTP

Comment corriger l'alerte : Unnecessary HSTS header over HTTP

Lorsque vous essayez d'inclure votre domaine dans la liste de pré-chargement HTTP Strict Transport Security (HSTS) de Google Chrome, vous obtenez un message d'erreur qui dit "Warning" : En-tête HSTS inutile sur HTTP". Ce message d'erreur indique que votre connexion HTTP envoie également un en-tête HSTS qui ne devrait pas être envoyé.

Voici le message d'erreur complet :
Status: yourdomain.com is pending submission to the preload list.

However, it still has the following issues, which we recommend fixing:

Warning: Unnecessary HSTS header over HTTP The HTTP page at http://yourdomain.com sends an HSTS header. This has no effect over HTTP, and should be removed.
Pour corriger ce message d'erreur, vous devez supprimer le message d'en-tête HSTS de la connexion HTTP et le déplacer uniquement vers HTTPS.

Pour NGINX

Si vous placez le Strict-Transport-Security dans les blocs http{...} des fichiers de configuration NGINX, vous devez le déplacer sur les blocs serveur{...}.

Par exemple, dans votre fichier. Il suffit de supprimer l'en-tête Strict-Transport-Security ou de commenter la ligne : /etc/nginx/nginx.conf

http {
    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    #add_header Strict-Transport-Security "max-age=63072000;
includeSubDomains; preload"; }
Ensuite, sur votre serveur{...}, les blocs qui contiennent la ligne de , c'est le bloc dans lequel vous ne placez que l'en-tête Strict-Transport-Security dans lequel se trouvent les directives relatives à l'utilisation du https pour votre site web.
Par exemple, à la ligne: listen 443 ssl http2/etc/nginx/sites-disponibles/votredomaine.com
server{
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    root /var/www/kawuk.com;

    index index.php index.html index.html index.nginx-debian.html;                server_name kawuk.com

    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

Pour APACHE

Comme pour NGINX, il suffit de déplacer l'en-tête Strict-Transport-Security vers VirtualHost *:443 au lieu de le placer en dehors de la configuration 443.

Par exemple, à l'origine, votre configuration est similaire à celle ci-dessous.

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
<VirtualHost *:443>
    #VOTRE_AUTRE_CODE ......
</VirtualHost>
Vous devez déplacer le code dans la configuration *.443.
<VirtualHost *:443>
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
    #VOTRE_AUTRE_CODE ......
</VirtualHost>

C'est fait !

Après avoir corrigé les instructions ci-dessus, retournez sur https://hstspreload.org et vérifiez votre site web. L'erreur devrait maintenant avoir disparu.

Pour vérifier si votre site web est déjà dans le paquet Google Chrome. Copiez, collez et visitez ce lien : chrome://net-internals/#hsts et entrez votre site web.

Important : ne pas oublier de redémarrer le serveur pour prendre en compte les corrections.

Articles liés

Image pastille kawuk
Des solutions intelligentes et efficaces.
  • fa icofont-stripe
  • fa icofont-visa
  • fa icofont-mastercard
  • fa icofont-american-express

JT Language Switcher

JT Language Switcher: Multilingual Situation Has not been set or Content Languages are disabled

Langue

Kawuk©2024 Inscription INPI N°4584612 | Agence Digitale Guadeloupe