Aller au contenu

HSTS/HPKP pour les applis *.yulpa.io


alh

Recommended Posts

Serait-il possible de déployer HSTS sur le manager (et éventuellement les autres services de la nouvelle galaxie yulpa.io : forum, travaux, site vitrine, blog, etc.) comme s'était le cas avec web4all.fr ?

La cerise sur le gateau serait le support de HPKP (bien que parfois un peu casse geule)

Lien vers le commentaire
Partager sur d’autres sites

  • Aurelien P. changed the title to HSTS/HPKP pour les applis *.yulpa.io
  • Administrateurs

Bonjour, 

j'ai renommé le sujet vu qu'il ne concerne pas que le manager mais tous les outils.

Pour le moment ce n'est pas prévu, nous avons eu beaucoup trop de problème avec le HSTS sur *.web4all.fr et avons très vite regretté sa mise en place.

Nous verrons éventuellement pour le mettre mais par FQDN, plus sur l'ensemble du domaine.

Lien vers le commentaire
Partager sur d’autres sites

Concernant HSTS, il y a plusieurs options possibles : juste pour le domaine/sous-domaine correspondant, pour le domaine/sous-domaine et les sous-domaines, avec preloading...

Je ne pense pas que un HSTS du type

Strict-Transport-Security: max-age=63072000

vous posera des problèmes pour les applis déjà accessibles par HTTPS, il n'y pas pas de preloading possible et il n'y a pas d'implication des sous-domaines...

éventuellement un

Strict-Transport-Security: max-age=63072000; includeSubDomains

si tous les sous domaines HTTP de yulpa.io s(er)ont accessibles en HTTPS

Modifié par alh
Lien vers le commentaire
Partager sur d’autres sites

Créer un compte ou se connecter pour commenter

Vous devez être membre afin de pouvoir déposer un commentaire

Créer un compte

Créez un compte sur notre communauté. C’est facile !

Créer un nouveau compte

Se connecter

Vous avez déjà un compte ? Connectez-vous ici.

Connectez-vous maintenant
×
×
  • Créer...