Configuration de la sécurité HSTS (HTTP Strict Transport Security)

Vous pouvez spécifier la sécurité HSTS (HTTP Strict Transport Security, sécurité de transport stricte HTTP) dans les en-têtes de réponse afin que le serveur puisse signaler aux clients qu'il accepte uniquement les demandes HTTPS. Vous pouvez rediriger toute demande non HTTPS vers des hôtes virtuelles compatibles SSL.

Avant de commencer

  • Déterminez si vos règles HSTS s'appliquent uniquement au domaine ou incluent des sous-domaines.
  • Déterminez si le domaine peut faire partie de la liste préinstallée des hôtes HSTS connus d'un client.
  • Déterminez pendant combien de temps le client peut conserver en cache les informations indiquant que le domaine est un hôte HSTS.

Procédure

  1. Activez la modification des en-têtes de réponse.
    Supprimez la mise en commentaire de la directive Load Module suivante pour le module mod_headers dans le fichier httpd.conf :
    LoadModule headers_module modules/mod_headers.so
  2. Définissez les règles HSTS pour les clients.

    Apportez les mises à jour suivantes dans le fichier httpd.conf :

    1. Codez la directive Header.
      L'exemple suivant spécifie les options utiles pour la définition de vos règles HSTS. La directive Header spécifie que le serveur requiert toujours des connexions HTTPS. Les connexions HTTPS s'appliquent au domaine et aux sous-domaines. Un client peut conserver le domaine dans la liste préinstallée de domaines HSTS pendant au maximum une année (31536000 secondes).
      Header always set Strict-Transport-Security "max-age=31536000;
            includeSubDomains; preload"
    2. Ajoutez la directive Header à chaque section d'hôte virtuel, <virtualhost>, active pour SSL (Secure Sockets Layer).
  3. Redirigez les demandes depuis les hôtes virtuels qui ne sont pas activés pour SSL vers des hôtes virtuels qui le sont.
    RewriteEngine on 
    RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [R,L]
    • Ajoutez la section (stanza) une fois à chaque section d'hôte virtuel dans le fichier httpd.conf.
    • Ajoutez la section (stanza) une fois au fichier httpd.conf, mais en dehors des sections d'hôte virtuel.

Résultats

Vous configurez IBM® HTTP Server afin qu'il indique aux clients de se connecter aux domaines et sous-domaines spécifiés uniquement via HTTPS. Pour garantir que votre serveur IBM HTTP Server ne traite pas les demandes non HTTPS via une connexion non SSL, configurez le serveur pour qu'il redirige ces demandes vers des hôtes virtuelles activés SSL.

Que faire ensuite

Ajoutez votre serveur en avant-plan de votre environnement de serveur d'applications, afin que les connexions entre votre serveur d'applications et un client s'effectuent via HTTPS.

Icône indiquant le type de rubrique Rubrique de tâche



Icône d'horodatage Dernière mise à jour: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_hsts
Nom du fichier : tihs_hsts.html