Ah oui j'ai testé un proxy inverse avec HSTS et j'obtiens A++    ...... non je plaisante A+

J'ai retrouvé où il est question de ne pas activer HTST c'est dans le tuto du proxy inverse de Kawamashi. Il dit :

"Par contre, je déconseille le HSTS (c'est le navigateur qui enregistre cette information et il ne laissera plus passer autrement qu'en HTTPS, même si ce dernier est coupé)."

Alors je me pose la question (et je la pose aux autres membres) Faut-il activer HSTS ?

Je suis allé voir sur Qwant qui est mon copain et j'ai trouvé ceci :

https://www.ionos.fr/digitalguide/sites-internet/developpement-web/hsts-connexions-https-fiables-et-securisees/

 et en lisant cet article j'ai compris que, même avec une redirection http vers https, l'homme du milieu pouvais me nuire. Alors @MilesTEG1 je crois que je vais te suivre. 

Modifié le 4 juin 20214 a par Jeff777

Je ne l'active que dans les entrées du reverse proxy 😉

Sinon, j'ai pu virer les lignes du .htaccess pour PhotoStation vu que ça ne sert plus à grand chose dès lors qu'on a paramétré un port particulier pour Synology Photos.

Du coup, est-il utile de laisser la partie réécriture des URI en HTTPS ?

il y a 1 minute, MilesTEG1 a dit :

Je ne l'active que dans les entrées du reverse proxy

Où est-ce que tu l'actives si ce n'est pas dans les entrées du reverses proxy ?

 

Modifié le 4 juin 20214 a par Jeff777

Heu... j'ai chercher où on pouvait le faire en dehors du reverse proxy... et je sais pas où je me suis mis en tête que ça pouvait être ailleurs...

il y a 9 minutes, MilesTEG1 a dit :

Je ne l'active que dans les entrées du reverse proxy

Donc HSTS est activé ou non   🤣😜🤪

Je pensais que tu avais saisi...
Une capture valant mieux qu'un long discours : 😄 

il y a 32 minutes, MilesTEG1 a dit :

Je pensais que tu avais saisi...

Si on m'explique longtemps, j'y arrive.

Donc il est préférable de l'activer pour toutes les entrées du reverse proxy ?

il y a 13 minutes, Jeff777 a dit :

Si on m'explique longtemps, j'y arrive.

Donc il est préférable de l'activer pour toutes les entrées du reverse proxy ?

Ha ça par contre je sais pas… moi je le fais, mais est à conseiller … ?

Le hsts dans le temps non, maintenant oui sans aucun soucis et c’est même mieux !

D’ailleurs vous pouvez même faire pré charger votre domaine pour qu’il passe directement en https auprès des navigateurs 🙂

https://hstspreload.org

Merci @Einsteinium c'est beaucoup plus clair pour moi 🙂

Il y a 8 heures, Einsteinium a dit :

Le hsts dans le temps non, maintenant oui sans aucun soucis et c’est même mieux !

Ok, donc je le laisse activé par défaut sur tous les domaines dans le reverse proxy 😉

Il y a 8 heures, Einsteinium a dit :

D’ailleurs vous pouvez même faire pré charger votre domaine pour qu’il passe directement en https auprès des navigateurs 🙂

https://hstspreload.org

Heu, là j'ai pas tout saisi... Faut faire comment pour "pré-charger le domaine" ?

Suis le lien 😅

Houla c'est du costaud. Je vais finir de passer mes entrées du proxy inverse en HSTS puis je vais me concentrer sur la manière de passer le point 4 :

Serve an HSTS header on the base domain for HTTPS requests

ça mériterait un petit tuto 😉

il y a 33 minutes, MilesTEG1 a dit :

Heu, là j'ai pas tout saisi... Faut faire comment pour "pré-charger le domaine" ?

Tout est décrit sur le lien donné par @Einsteinium

il y a 30 minutes, Jeff777 a dit :

Houla c'est du costaud. Je vais finir de passer mes entrées du proxy inverse en HSTS puis je vais me concentrer sur la manière de passer le point 4 :

Serve an HSTS header on the base domain for HTTPS requests

ça mériterait un petit tuto 😉

Même chose pour moi.
La partie simple est déjà faite, mais à partir du point n°4, je suis perdu.

il y a 28 minutes, .Shad. a dit :

Tout est décrit sur le lien donné par @Einsteinium

C'est peut-être très clair et facile pour vous, mais je t'avoue que pour moi (et probablement pour @Jeff777) c'est loin d'être clair...

J'ai trouvé ça à ajouter dans le .htaccess qui pourrait correspondre à ce qui est présent dans le lien de @Einsteinium :

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Source : Synology - Forcer les connexions HTTPS (cachem.fr)

Mais ça semble ne pas être pris en compte :
j'ai ça dans le test https://www.ssllabs.com/ssltest/ :

Strict Transport Security (HSTS)	Yes max-age=15768000; includeSubdomains; preload
HSTS Preloading	Not in: Chrome  Edge  Firefox  IE

 

PS : mon .htaccess :

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

 

Avec dsm 7 j’ai vue que pour les sous domaine tout était bon, donc pour le site de base cela doit être pareil… en bref tu n’as qu’à mettre ton site et faire la validation…

Cachem… ce site qui sponsorise ses test, aucune valeur à mes yeux, je vais même pas voir x)

@MilesTEG1 Le preload pour moi n'a d'intérêt que pour éviter que la première connexion à un site, si tu utilises HTTP dans l'URL, soit non chiffrée.
Je ne vois pas spécialement l'intérêt car généralement tu n'entres pas des credentials au chargement d'une page.

En revanche si tu as mis ton domaine racine et tous tes sous-domaines en preload, et que ton proxy inversé déconne, bonne chance pour arriver à te connecter depuis l'extérieur.

@MilesTEG1

Bonjour,

MERCI BEAUCOUP  🤗😊 pour l'info de la ligne à ajouter dans le ".htaccess".

J'ai donc sur tes commentaires précédents :

• activer le HSTS dans DSM (Panneau de configuration / Réseaux / Paramètres DSM / Domaine),
• appliquer le HSTS à toutes mes règles de proxy inversé,
• activer le HSTS dans Firefox (paramètres / Vie privées et sécurité / Mode HTTPS uniquement / Activer le mode HTTPS uniquement dans toutes les fenêtres),
• enregistrer mon domaine sur le lien fourni par @Einsteinium (merci à lui pour l'info);

pour au final récupérer un "A+" sur le site https://www.ssllabs.com/ssltest/.

Je ne sais dire si cela a en est une conséquence, mais je constate depuis ces manipulations, une plus grande réactivité et plus de rapidité dans la navigation sur le net ...

Cordialement

oracle7😉

 

il y a 5 minutes, .Shad. a dit :

Le preload pour moi n'a d'intérêt

Quand tu n’ouvres pas le port 80 qui concentre 95% des attaques, si un de tes utilisateurs ou toi même tapé directement le domaine, il passe directement en https.

 

il y a 5 minutes, oracle7 a dit :

MERCI BEAUCOUP  🤗😊 pour l'info de la ligne à ajouter dans le ".htaccess".

Que si dsm 6, sinon inutile avec dsm 7

@Einsteinium Je peux donc virer la ligne du .htaccess vu que je suis sous DSM7 ?

 

Il y a 1 heure, Einsteinium a dit :

Que si dsm 6, sinon inutile avec dsm 7

Tu as une idée du max-age avec DSM7. Je comprends que je risque d'être bloqué si je fais une erreur donc un max-age de moins d'une heure me va bien. C'est ce que je ferai avec DSM6 mais quid de DSM7 ?

 

Regarde la capture de Miles plus haut y a le chiffre exacte 🙂

Oups, ça fait 6 mois si je me trompe pas. Tu connais un moyen de changer cela. Si on le change avec .htaccess c'est prioritaire ?