Aide à l'ajout de includeSubDomains à l'en-tête Strict-Transport-Security

Installation Hébergement
1

Un client a utilisé un outil d’analyse de sécurité utile et pense maintenant que l’en-tête Strict-Transport-Security devrait inclure « includeSubdomains ».

J’ai ajouté les deux à app.yml :


  after_ssl:
    - replace:
        filename: /etc/nginx/conf.d/outlets/server/20-https.conf
        from: "max-age=31536000;"
        to:  "max-age=31536000; includeSubDomains;"
    - replace:
        filename: /etc/nginx/conf.d/outlets/discourse/20-https.conf
        from: "max-age=31536000;"
        to:  "max-age=31536000; includeSubDomains;"

- exec: sed -i "s/add_header Strict-Transport-Security 'max-age=31536000';/add_header Strict-Transport-Security \"max-age=31536000; includeSubDomains\" always;/" /etc/nginx/conf.d/outlets/discourse/20-https.conf /etc/nginx/conf.d/outlets/server/20-https.conf

Aucun des deux ne semble fonctionner. L’exécution de la commande sed dans le second, à l’intérieur du conteneur, fonctionne et, après le redémarrage de nginx, fait ce qui est demandé.

Je ne comprends pas pourquoi cela ne fonctionne pas.

De plus, cela était auparavant dans le modèle, mais il semble que cela ait été supprimé en 2014, bien que certains messages récents incluent des en-têtes qui montrent includeSubdomains dedans.

Je suis perplexe.

1 « J'aime »
2

Hmm.. vous ne semblez pas obtenir de réponse ici. Ce sujet appartient-il à Dev ou à Installation > Hosting ? :thinking:

1 « J'aime »
3

Eh bien, je l’ai déplacé là-bas, mais le problème initial est que quelqu’un a affirmé que ne pas définir includeSubDomains était un problème de sécurité.

J’aimerais beaucoup que quelqu’un qui sait et se soucie de savoir si avoir IncludeSubDomains dans l’en-tête STS est important puisse aborder le problème afin que je puisse peut-être dire à cette personne que des centaines de milliers d’autres sites ne sont pas d’accord et que peut-être le script que quelqu’un a exécuté pour trouver ces « failles de sécurité » est erroné.

Alors peut-être devrais-je renommer ceci « includeSubDomains manquant dans l’en-tête STS considéré comme nuisible »

2 « J'aime »
5

J’appellerais plutôt cela un choix de configuration.

Le forum est-il sur un domaine racine ou non ?

Je dis toujours aux gens que nous sommes très prudents quant à la définition d’en-têtes qui affectent d’autres noms d’hôtes sur leur domaine, et que s’ils veulent avoir HSTS sur ceux-ci, ils devraient plutôt définir les en-têtes sur ces hôtes respectifs.

La seule raison valable à laquelle je peux penser est qu’ils ne peuvent pas le faire, par exemple lorsque le forum est sur un domaine racine et que le client ne peut pas contrôler les en-têtes HSTS sur d’autres hôtes hébergés à l’extérieur, par exemple, ils ont également hébergé shopify.example.com. Ensuite, ils viennent essentiellement vous voir parce que vous êtes le chemin de moindre résistance :slight_smile:

2 « J'aime »
6

Ce n’est pas le cas.

C’est ce que je pense avoir pensé, bien que je n’aie pas pu l’articuler.

Merci. Je leur dirai que, comme ce n’est pas le domaine Apex, il est de Bonnes Pratiques que chaque hôte applique ses propres règles.

Merci beaucoup. C’est d’une grande aide. Au moins, je suis maintenant à peu près sûr de comprendre.

2 « J'aime »
7

Ce sujet a été automatiquement fermé 30 jours après la dernière réponse. Les nouvelles réponses ne sont plus autorisées.