HSTS (HTTP Strict Transport Security)

HSTS force les navigateurs à utiliser HTTPS pour un domaine donné. Une fois actif, toute tentative en HTTP est automatiquement convertie en HTTPS par le navigateur, sans appel réseau en clair.

Comment ça fonctionne

Le serveur renvoie l'en-tête Strict-Transport-Security sur une réponse HTTPS.
Le navigateur conserve cette règle pendant max-age secondes.
Tant que la règle est active, le navigateur refuse le HTTP.

Syntaxe de l'en-tête

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Paramètres:

max-age: durée en secondes.
includeSubDomains: applique aussi aux sous-domaines.
preload: signal pour être éligible à la liste de preload des navigateurs.

Pré-requis

HTTPS actif partout, certificat valide.
Redirection 301/308 de HTTP vers HTTPS.
Tous les sous-domaines doivent être compatibles HTTPS si includeSubDomains est activé.

Recommandations

Démarrer avec un max-age court (ex: 86400) puis augmenter.
Pour le preload: max-age >= 31536000 + includeSubDomains + preload.
Ne jamais envoyer HSTS sur un domaine qui sert encore du HTTP.

Implémentation Symfony

Option 1: niveau serveur (recommandé)

Nginx:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;

Apache:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"

Avantage: appliqué à toutes les réponses, y compris les fichiers statiques.

Option 2: niveau application (Symfony)

Ajoutez un subscriber qui pose l'en-tête uniquement en HTTPS.

// src/EventSubscriber/HstsSubscriber.php
namespace App\EventSubscriber;

use Symfony\Component\EventDispatcher\EventSubscriberInterface;
use Symfony\Component\HttpKernel\Event\ResponseEvent;
use Symfony\Component\HttpKernel\KernelEvents;

final class HstsSubscriber implements EventSubscriberInterface
{
    public static function getSubscribedEvents(): array
    {
        return [KernelEvents::RESPONSE => 'onResponse'];
    }

    public function onResponse(ResponseEvent $event): void
    {
        $request = $event->getRequest();
        if (!$request->isSecure()) {
            return;
        }

        $event->getResponse()->headers->set(
            'Strict-Transport-Security',
            'max-age=31536000; includeSubDomains'
        );
    }
}

Notes:

Ne pas activer HSTS en dev local si vous n'utilisez pas HTTPS.
Si vous êtes derrière un proxy, configurez trusted_proxies pour que isSecure() soit fiable.

Preload (optionnel)

Si vous voulez être préchargé:

Activer includeSubDomains et preload.
Mettre max-age=31536000.
Soumettre le domaine: https://hstspreload.org/

Checklist go/no-go (preload)

Go:

Tous les sous-domaines (existants et futurs) sont en HTTPS avec certificats valides.
Redirection 301/308 HTTP -> HTTPS en place partout.
Strict-Transport-Security envoyé sur toutes les réponses HTTPS.
max-age=31536000, includeSubDomains, preload déjà en prod et testés.
Plan de rollback documenté (retrait des directives + délai de propagation).

No-go:

Un seul sous-domaine sert encore du HTTP ou est instable en HTTPS.
Certificats non gérés pour tous les sous-domaines.
Pas de visibilité sur tous les sous-domaines (legacy, marketing, vendors).
HSTS activé récemment sans période d'observation suffisante.
Redirections partielles ou incohérentes selon les apps/environnements.

Rollback (preload)

Si vous devez sortir du preload:

Retirer preload de l'en-tête HSTS.
Retirer includeSubDomains si tous les sous-domaines ne sont pas en HTTPS.
Baisser max-age (ex: 0 ou très court) pour limiter la durée restante.
Attendre l'expiration côté clients (selon max-age).
Soumettre la demande de retrait sur le site de preload (délai de propagation).

Note: le retrait est lent et dépend des mises à jour de listes intégrées aux navigateurs.

Vérification rapide

Outils dev navigateur: inspecter la réponse HTTPS et l'en-tête HSTS.
OpenSSL/curl: curl -I https://votre-domaine.

Voir aussi — en production

vps/05-securite.md — HSTS et headers de sécurité déployés sur Telaria.