securityheaders

Je vous avais précédemment présenté une manière de valider facilement la sécurité du SSL de votre site via SSL Labs, voici Securityheaders.io, un autre outil en ligne complémentaire permettant de valider le bon usage des entêtes HTTP afin de garantir la sécurité de votre site.

L'outil est libre d'utilisation, sans pub et s'inspire fortement du mécanisme de notation de SSL Labs de Qualys.

Il offre une note entre A+ et R en fonction du respect de l'usage des entêtes liésà la sécurité de la norme HTTP. Sur les 5 millions de sites scannés, l'outil n'a attribué que 182 671 A+, autant dire que la note suprême A+ n'est pas simple à atteindre.

Au-delà de la mise en oeuvre du HTTPS sur votre site, les entêtes HTTP les plus simples à positionner sont les 5 suivantes :

  • Strict-Transport-Security
  • X-Frame-Options
  • X-Content-Type-Options
  • X-XSS-Protection
  • Referrer Policy

Voici un exemple de configuration pour NGinx :

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload";
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;
add_header X-XSS-Protection "1; mode=block";
add_header Referrer-Policy "no-referrer-when-downgrade";

On retrouve généralement ces paramètres sur la majorité des tutoriaux en ligne détaillant la mise en place de l'HTTPS sur un serveur Web.

Les entêtes liés au Content-Security-Policy et au Public-Key-Pins, recommandés par Securityheaders.io, sont les plus complexes à configurer ...

D'une part parce que les CSP nécessitent une excellente maîtrise des ressources embarquées sur les pages de votre site, vous devrez méticuleusement détailler tous les domaines Internet qui seront autorisés à intégrer du contenu sur votre site.

Enfin parce que le "public key pinning", qui permet de se protéger d'attaques via l'utilisation certificats frauduleux émis par des autorités de certification compromises, nécessite de bonnes compétences techniques afin de ne pas bloquer le trafic sur votre site. D'autant plus si vous utilisez des certificats Letsencrypt qui sont renouvelés tous les 3 mois ...

Si vous souhaitez vérifier dès maintenant la sécurité de votre site, l'outil est disponible en ligne à cette adresse : Securityheaders.io

1. Le , 14:48 par Jalale
d9e4f4b4e40f89cbf4e71307dd04226f

Merci pour l'article !!

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.