Manière supportée d'ajouter "IncludeSubdomain" aux en-têtes STS

tanya_byrne · Janvier 9, 2026, 9:47

Bonjour à tous,

pour nos instances Discourse auto-hébergées actuelles, nous devons ajouter « IncludeSubDomains » à nos en-têtes STS en raison d’une attente de nos scanners internes.

Auparavant, j’y parvenais en utilisant des commandes sed dans app.yml dans les commandes personnalisées après la construction pour mettre à jour /etc/nginx/conf.d/discourse.conf afin d’inclure 'add_header Strict-Transport-Security “max-age=31536000; includeSubDomains” always;

ainsi que :

 - replace:
      filename: "/etc/nginx/conf.d/outlets/discourse/20-https.conf"
      from: /add_header Strict-Transport-Security.+/
      to: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
      global: true

  - replace:
      filename: "/etc/nginx/conf.d/outlets/server/20-https.conf"
      from: /add_header Strict-Transport-Security.+/
      to: add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
      global: true

Cela fonctionnait auparavant. Cependant, cela a cessé de fonctionner. J’ai lu que la création d’un nouveau fichier de sortie devrait me permettre d’ajouter ceci en utilisant :

hooks:
  after_code:
    - file:
        path: /etc/nginx/conf.d/outlets/server/90-hsts.conf
        chmod: 444
        contents: |
          add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Cependant, cela entraîne la présence de deux en-têtes STS (un provenant du modèle SSL et un provenant de mon nouveau modèle). Existe-t-il une meilleure façon de procéder afin de ne pas me retrouver avec deux en-têtes STS ? Je pensais que nginx respecterait le dernier en-tête ajouté et ignorerait l’en-tête du modèle SSL qui ne contient que max-age=31536000; , est-ce donc un bogue ? Merci pour tout conseil que vous pourrez me donner.

supermathie · Janvier 9, 2026, 10:23

Utiliser set_header au lieu de add_header résout-il le problème ?

tanya_byrne · Janvier 9, 2026, 10:26

Je vais essayer et je vous ferai un retour

tanya_byrne · Janvier 9, 2026, 11:52

Si j’utilise set_header, j’obtiens une erreur SSL lors de la reconstruction, le certificat n’étant pas reconnu et un message de « connexion refusée » lors de la tentative de chargement de la page du forum.

Quelques informations supplémentaires, nous utilisons notre propre certificat SSL.

supermathie · Janvier 10, 2026, 12:34

Ces deux erreurs s’excluent mutuellement…

Désolé, nginx n’a pas set_header - je me suis trompé et cela provient d’un autre outil.

L’option la plus simple est probablement de modifier templates/web.ssl.template.yml avec les nouvelles valeurs souhaitées.

pfaffman · Janvier 10, 2026, 11:55

Je ferais cela en premier car c’est le plus facile. Une fois que vous aurez trouvé, la deuxième chose la plus simple est de copier ce fichier ailleurs afin de ne pas avoir de problèmes de conflit avec git. La meilleure solution serait de combiner votre stratégie actuelle avec une autre ligne pour supprimer l’autre paramètre conflictuel.

tanya_byrne · Janvier 11, 2026, 12:07

Merci pour votre aide à tous les deux !

Sujet		Réponses	Vues
Help adding includeSubDomains to the Strict-Transport-Security header Hosting	5	102	Septembre 22, 2025
Set Strict-Transport-Security header Installation	3	578	Octobre 10, 2022
Add a custom HTTP header to requests made to your Discourse Sysadmins how-to	5	4757	Septembre 12, 2016
HSTS header not set with www and non www setup Support nginx	2	743	Octobre 6, 2022
Let’s Encrypt problem after upgrading to 1.9.0.beta3 Bug	14	1670	Juillet 14, 2017

Manière supportée d'ajouter "IncludeSubdomain" aux en-têtes STS

Sujets connexes