TUTORIEL

Comment corriger l'alerte: Unnecessary HSTS header over HTTP

Comment corriger l'alerte: Unnecessary HSTS header over HTTP

Lorsque vous essayez d'inclure votre domaine dans la liste de pré chargement HTTP Strict Transport Security (HSTS) de Google Chrome, vous obtenez un message d'erreur qui dit "Warning" : En-tête HSTS inutile sur HTTP". Ce message d'erreur indique que votre connexion HTTP envoie également un en-tête HSTS qui ne devrait pas être envoyé.

Voici le message d'erreur complet :
Status: yourdomain.com is pending submission to the preload list.

However, it still has the following issues, which we recommend fixing:

Warning: Unnecessary HSTS header over HTTP The HTTP page at http://yourdomain.com sends an HSTS header. This has no effect over HTTP, and should be removed.
Pour corriger ce message d'erreur, vous devez supprimer le message d'en-tête HSTS de la connexion HTTP et le déplacer uniquement vers HTTPS.

Pour NGINX

Si vous placez le Strict-Transport-Security dans les blocs http{...} des fichiers de configuration NGINX, vous devez le déplacer sur les blocs serveur{...}.

Par exemple, dans votre fichier. Il suffit de supprimer l'en-tête Strict-Transport-Security ou de commenter la ligne : /etc/nginx/nginx.conf

http {
    include /etc/nginx/mime.types;
    default_type application/octet-stream;

    #add_header Strict-Transport-Security "max-age=63072000;
includeSubDomains; preload"; }
Ensuite, sur votre serveur{...}, les blocs qui contiennent la ligne de , c'est le bloc dans lequel vous ne placez que l'en-tête Strict-Transport-Security dans lequel se trouvent les directives relatives à l'utilisation du https pour votre site web.
Par exemple, à la ligne: listen 443 ssl http2/etc/nginx/sites-disponibles/votredomaine.com
server{
    listen 443 ssl http2;
    listen [::]:443 ssl http2;
    root /var/www/kawuk.com;

    index index.php index.html index.html index.nginx-debian.html;                server_name kawuk.com

    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";

Pour APACHE

Comme pour NGINX, il suffit de déplacer l'en-tête Strict-Transport-Security vers VirtualHost *:443 au lieu de le placer en dehors de la configuration 443.

Par exemple, à l'origine, votre configuration est similaire à celle ci-dessous.

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
<VirtualHost *:443>
    #VOTRE_AUTRE_CODE ......
</VirtualHost>
Vous devez déplacer le code dans la configuration *.443.
<VirtualHost *:443>
    Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"
    #VOTRE_AUTRE_CODE ......
</VirtualHost>

C'est fait !

Après avoir corrigé les instructions ci-dessus, retournez sur https://hstspreload.org et vérifiez votre site web. L'erreur devrait maintenant avoir disparu.

Pour vérifier si votre site web est déjà dans le paquet Google Chrome. Visitez chrome://net-internals/#hsts et entrez votre site web.

Important : ne pas oublier de redémarrer le serveur pour prendre en compte les corrections.

Prêt à vous lancer ? Collaborons sur votre nouveau projet !

Commencez votre étude gratuite dès aujourd'hui.

Image
Des solutions intelligentes et efficaces pour les entreprises.

Adresse Agence

Route de la pointe gros bœuf,
97118 Saint-François