Les actions suivantes peuvent être suivies pour configurer le serveur web Apache afin d’activer HSTS ou “HTTP Strict Transport Security”.
Activation des en-têtes HSTS
Pour qu’Apache transporte les en-têtes HSTS, le module headers doit être ajouté au fichier de configuration (/etc/apache2/httpd.conf) :
LoadModule headers_module modules/mod_headers.so
Configurer les en-têtes de chaque site
Configurez les paramètres d’en-tête pour chaque site Web utilisant SSL ; le fichier de configuration est souvent situé dans “/etc/apache2/sites-enabled/”.
La ligne suivante doit être ajoutée au fichier de configuration afin que les paramètres de l’en-tête Strict-Transport-Security soient spécifiés pour une période de deux ans :
<VirtualHost *:443>
...
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"
...
</VirtualHost>
L’inclusion du paramètre includeSubdomains dans une URL indique au navigateur de charger tous les sous-domaines de ce domaine. Si vous désactivez ce paramètre, seules les connexions sécurisées au domaine actuel seront autorisées. Il est cependant fortement déconseillé d’agir ainsi.
Lorsque la configuration d’Apache est rechargée, cet en-tête sera affiché à tous les utilisateurs avec un délai d’expiration de 63072000 secondes (2 ans). Veillez à appliquer ce paramètre au serveur virtuel HTTPS (:443) et non au serveur HTTP (:80).
Au fait, vous aurez besoin d’un certificat SSL pour configurer le HSTS sur votre serveur.