Gérer HSTS d'un site Web/hébergement

Ce guide explique comment désactiver ou paramétrer HSTS pour un site Web. Lorsque HSTS est activé pour un site web, le serveur indique au visiteur du site (si son navigateur Internet est compatible) de remplacer tous les liens non sécurisés par des liens sécurisés. Par exemple, http://www.exemple.com/une/page/ est automatiquement remplacé par https://www.exemple.com/une/page/

Après avoir activé un certificat SSL sur un site Web, le HSTS est configuré comme suit:

Désactiver HSTS

1. avec un CMS (WordPress, Joomla, etc.)

Il est nécessaire d'inclure dans toutes les pages générées par le CMS la ligne suivante:

header( 'Strict-Transport-Security: max-age=0;' );

Pour WordPress, il est par exemple possible d'ajouter cette directive dans le fichier functions.php de votre thème:

Plus de détails sur WordPress 

2. avec un site PHP

Il est nécessaire d'inclure la ligne suivante dans toutes les pages php:

header( 'Strict-Transport-Security: max-age=0;' );

Pour faire cela sans devoir modifier chaque page php d'un site, il est possible d'utiliser la directive auto_prepend_file dans le fichier .user.ini du site concerné:

auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php

... avec le fichier hsts_disable.php suivant:

header( 'Strict-Transport-Security: max-age=0;' );

3. avec un site au contenu statique (non PHP)

Il est nécessaire d'inclure ce header dans un fichier .htaccess:

# BEGIN DISABLE HSTS<IfModule mod_headers.c>Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"</IfModule># END DISABLE HSTS

Personnaliser le HSTS

Activer HSTS pour tous les sous domaines hébergés

includeSubDomains; est activé par défaut et comme son nom l'indique il va inclure les sous-domaines dans les "Strict Transport Security".

Lorsque le visiteur va un sous-domaine non sécurisé, le navigateur redirigera vers le HTTPS automatiquement et provoquera une erreur de sécurité.

Si ce comportement n'est pas désiré, il faut enlever cette en-tête.

Effacer le cache HSTS de votre navigateur

1. dans Chrome, taper chrome://net-internals/#hsts
2. entrer le nom de domaine dans le champ texte de la section "Delete domain security policies"
3. cliquer sur le bouton Delete
4. entrer le nom de domaine dans le champ texte de la section "Query HSTS"
5. cliquer sur le bouton Query
6. la réponse doit être "Not found" (non trouvé)

1. avec Safari, commencer par fermer le navigateur
2. effacer le fichier ~/Library/Cookies/HSTS.plist
3. rouvrir Safari

1. avec Firefox, fermez tous les onglets
2. ouvrir le menu de Firefox et cliquer sur Historique / Afficher l’historique.
3. rechercher la page dont vous voulez supprimer les préférences HSTS
4. effectuer un clic droit sur une des entrées lui correspondant
5. choisir Oublier ce site