Lorsque vous essayez d'inclure votre domaine dans la liste de pré-chargement HTTP Strict Transport Security (HSTS) de Google Chrome, vous obtenez un message d'erreur qui dit "Warning" : En-tête HSTS inutile sur HTTP". Ce message d'erreur indique que votre connexion HTTP envoie également un en-tête HSTS qui ne devrait pas être envoyé.
Voici le message d'erreur complet :
Voici le message d'erreur complet :
Status: yourdomain.com is pending submission to the preload list.Pour corriger ce message d'erreur, vous devez supprimer le message d'en-tête HSTS de la connexion HTTP et le déplacer uniquement vers HTTPS.
However, it still has the following issues, which we recommend fixing:
Warning: Unnecessary HSTS header over HTTP The HTTP page at http://yourdomain.com sends an HSTS header. This has no effect over HTTP, and should be removed.
Pour NGINX
Si vous placez le Strict-Transport-Security dans les blocs http{...} des fichiers de configuration NGINX, vous devez le déplacer sur les blocs serveur{...}.
Par exemple, dans votre fichier. Il suffit de supprimer l'en-tête Strict-Transport-Security ou de commenter la ligne : /etc/nginx/nginx.conf
Par exemple, à la ligne: listen 443 ssl http2/etc/nginx/sites-disponibles/votredomaine.com
Par exemple, dans votre fichier. Il suffit de supprimer l'en-tête Strict-Transport-Security ou de commenter la ligne : /etc/nginx/nginx.conf
http {
include /etc/nginx/mime.types;
default_type application/octet-stream;
#add_header Strict-Transport-Security "max-age=63072000;
includeSubDomains; preload"; }Par exemple, à la ligne: listen 443 ssl http2/etc/nginx/sites-disponibles/votredomaine.com
server{
listen 443 ssl http2;
listen [::]:443 ssl http2;
root /var/www/kawuk.com;
index index.php index.html index.html index.nginx-debian.html; server_name kawuk.com
add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";Pour APACHE
Comme pour NGINX, il suffit de déplacer l'en-tête Strict-Transport-Security vers VirtualHost *:443 au lieu de le placer en dehors de la configuration 443.
Par exemple, à l'origine, votre configuration est similaire à celle ci-dessous.
Par exemple, à l'origine, votre configuration est similaire à celle ci-dessous.
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
<VirtualHost *:443>
#VOTRE_AUTRE_CODE ......
</VirtualHost>
<VirtualHost *:443>
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
#VOTRE_AUTRE_CODE ......
</VirtualHost>C'est fait !
Après avoir corrigé les instructions ci-dessus, retournez sur https://hstspreload.org et vérifiez votre site web. L'erreur devrait maintenant avoir disparu.
Pour vérifier si votre site web est déjà dans le paquet Google Chrome. Copiez, collez et visitez ce lien : chrome://net-internals/#hsts et entrez votre site web.
Important : ne pas oublier de redémarrer le serveur pour prendre en compte les corrections.
Pour vérifier si votre site web est déjà dans le paquet Google Chrome. Copiez, collez et visitez ce lien : chrome://net-internals/#hsts et entrez votre site web.
Important : ne pas oublier de redémarrer le serveur pour prendre en compte les corrections.
