Je croyais que ça servait à ce que le navigateur se souvienne que le site est disponible est HTTPS, mais après une première visite en HTTPS au moins. Dans le cas où si un jour on tente le HTTP le navigateur fasse la bascule automatiquement sans redirection par le serveur.
Du coup j'imagine qu'il faut ajouter le header dans le VirtualHost qui sert le port 80, et pas uniquement le 443.
Bon je viens jeter un coup d'œil vite fait, et il semblerait qu'il faille bien une première visite en HTTPS pour que le HSTS soit en mémoire. Du coup la redirection reste nécessaire.
Je croyais que ça servait à ce que le navigateur se souvienne que le site est disponible est HTTPS, mais après une première visite en HTTPS au moins. Dans le cas où si un jour on tente le HTTP le navigateur fasse la bascule automatiquement sans redirection par le serveur.
Du coup j'imagine qu'il faut ajouter le header dans le VirtualHost qui sert le port 80, et pas uniquement le 443.
Bon je viens jeter un coup d'œil vite fait, et il semblerait qu'il faille bien une première visite en HTTPS pour que le HSTS soit en mémoire. Du coup la redirection reste nécessaire.
Je confirme, cf. la note dans la partie “description” : https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Strict-Transport-Security
HSTS est ignoré lors d'une communication HTTP.
Et la RFC préconise l'utilisation d'une redirection de type 301 pour le HTTP vers HTTPS. https://tools.ietf.org/html/rfc6797#section-7.2
[Comment from banned user removed]
https://superuser.com/questions/539580/how-can-i-remove-a-website-accidentally-added-to-firefoxs-list-of-hsts-sites
Si si tous les navigateurs gardent l'info en mémoire. Et heureusement ça peut être trifouillé pour “oublier” un HSTS trop audacieux.