HSTS

Also known as: HTTP Strict Transport Security, Strict-Transport-Security

Une règle que votre site envoie aux navigateurs pour dire « connecte-toi toujours à moi de façon sécurisée » — comblant une faille que des attaquants exploitent pour intercepter cette toute première visite non protégée.

De quoi s’agit-il

HSTS signifie « HTTP Strict Transport Security » (sécurité stricte du transport HTTP). C’est une courte instruction que votre site web envoie au navigateur d’un visiteur lors de sa première connexion, disant : « À partir de maintenant, ne te connecte à moi que de façon sécurisée — jamais via une connexion non protégée. » Le navigateur retient la consigne et l’applique automatiquement à chaque visite future.

Pourquoi c’est important pour votre entreprise

Même quand votre site possède un certificat valide, il subsiste une infime fenêtre de risque lors de cette toute première connexion — avant que la version sécurisée ne prenne le relais. Un attaquant présent sur le même réseau peut exploiter cet instant pour rediriger discrètement un visiteur vers une copie factice ou non protégée de votre site et capter ce qu’il saisit.

HSTS supprime cette faille. Une fois la règle reçue, le navigateur refuse purement et simplement toute connexion non sécurisée — il n’y a plus de fenêtre par laquelle l’attaquant pourrait se faufiler. Pour vos clients, c’est invisible ; pour vous, c’est un renforcement discret, à activer une seule fois, qui protège chaque visite suivante.

Comment savoir / que faire

Notre outil gratuit vous indique si HSTS est activé pour votre site. Si ce n’est pas le cas, le guide de correction HSTS explique comment l’activer sans risque — c’est un petit réglage ajouté par la personne qui gère votre site, et c’est gratuit. (Mieux vaut l’activer uniquement quand votre site fonctionne déjà entièrement via une connexion sécurisée, ce que le guide détaille.)

Want to fix this on your own domain? See the free guide →