Chez oim, forum libre

Discuter => C'est chez oim ! => Discussion démarrée par: alex le mercredi 27 septembre 2017, 14:58

Titre: SSL & connexions sécurisées : Entrée de chez-oim.org sur la liste HSTS Preload
Posté par: alex le mercredi 27 septembre 2017, 14:58
(https://static.chez-oim.org/uploads/member_1/stock1/1486050220.png)



Salut tous,

Depuis quelques semaines déjà, chez oim est inscrit sur la liste HSTS Preload (https://hstspreload.org/?domain=chez-oim.org). Vous pouvez prendre connaissance du projet HSTS Preload, initié par Google, sur Github (https://github.com/chromium/hstspreload).

L'inscription sur cette liste a un but très simple. Si vous essayez de vous connecter en HTTP sur Chez oim, votre navigateur consultera cette liste et s'apercevra qu'il faut obligatoirement vous connecter en HTTPS. Cette consultation est faite pour chaque site visité.
Cela vous évite des pertes de temps en redirections de HTTP vers HTTPS puisque votre navigateur mémorisera que seul le HTTPS est la norme chez oim grâce à l'inscription sur cette liste, mais aussi à notre politique de sécurité (le HSTS, pour ceux qui connaissent).

Votre sécurité s'en retrouve améliorée puisqu'il n'existe plus de période de flottement lorsque vous tentez de vous connecter en HTTP  et que le serveur vous réclame le HTTPS .
Cette période de flottement entre la bascule HTTP vers HTTPS est court-circuitée par votre navigateur qui ne vous laissera pas le choix et vous connectera directement en HTTPS si vous tentez le HTTP.

Aujourd'hui, les navigateurs suivants questionnent la liste HSTS Preload avant toute connexion à un site :
Bien entendu, votre navigateur doit être à jour.
Les mobiles étant les plus vulnérables en terme de sécurité, ils adoptent cette liste pour la plupart.

Observez le contenu de ce lien si vous souhaitez consulter la compatibilité de votre téléphone ou navigateur PC/MAC avec la politique de sécurité HSTS (https://caniuse.com/#search=HSTS) de chez oim.


Rassurez vous, cela ne change rien pour vous en matière de navigation. Vos connexions seront systématiquement sécurisées, c'est tout, et c'est déjà le cas depuis quelques mois.
Ne changez rien à vos habitudes de navigation ! Chez oim s'occupe de votre sécurité et confidentialité sur le net.

Titre: Re: SSL & connexions sécurisées : Entrée de chez-oim.org sur la liste HSTS Preload
Posté par: Songe le mercredi 27 septembre 2017, 20:40
Ouff  :jq:
Titre: Re: SSL & connexions sécurisées : Entrée de chez-oim.org sur la liste HSTS Preload
Posté par: alex le mercredi 27 septembre 2017, 20:59
T'as pas compris ? J'ai pas assez vulgarisé ? :gf:
Titre: Re: SSL & connexions sécurisées : Entrée de chez-oim.org sur la liste HSTS Preload
Posté par: maximus23 le mercredi 27 septembre 2017, 21:09
Bonsoir,

C'est connu depuis très longtemps cette liste pour que les navigateurs les prennent en https. Attention que dans l'autre sens le cas échéant il faut un délais de trois mois pour que le site ne soit plus en https.

 ;)
Titre: Re: SSL & connexions sécurisées : Entrée de chez-oim.org sur la liste HSTS Preload
Posté par: alex le mercredi 27 septembre 2017, 21:20
Oui, mais ça date de pas longtemps que tous les navigateurs utilisent cette liste. Au début, c'était une liste Google prévue pour Chrome.
Ca date de l'an dernier, le mois de mai.

Sinon, il n'y a pas de danger particulier en cas de désinscription. C'est juste un formulaire à remplir.
Ils te demandent de supprimer l'entête HSTS avec l'ajout preload et c'est bon. Et ça permet aussi de confirmer que tu as la main sur le site. Avec les rigolos qui trainent sur le net, on ne sait jamais.

Le plus long, c'est l'inscription. Ils vérifient tout ton bordel SSL et il faut compter quelques jours.
Mais c'est très pratique, ça évite les redirections imposées par le serveur ! C'est le client qui arrive direct en HTTPS. :if:

Par contre, il faut être certain que le site sera et restera SSL, y compris les sous domaines !