surtout HSTP
HSTP ?
Tu voulais parler de HSTS, non ? (
HTTP Strict Transport Security)
Je suis en train de l'activer, cela permet d'avoir un A+ sur Qualys SSL Labs.
Avec apache, cela nécessite d'activer le mod header :
sudo a2enmod headersOn rajoute dans la conf https du serveur web la ligne suivante :
# Utiliser HSTS (HTTP Strict Transport Security) pour forcer le navigateur a contacter le nom de domaine pendant 1an que en https
Header always set Strict-Transport-Security "max-age=31536000; preload"
Il faut faire attention de ne pas suivre l'exemple proposé sur Wikipedia avec "includeSubDomains;" si tous les sous-domaine ne sont pas en https.
Pour lafibre.info, les speedtest utilisent un sous-domaine et se font en http donc il ne faut surtout pas mettre cette directive, sinon les autres sous-domaines ne sont plus accessibles en http.