Discussion :

[Hinault Romaric]

HTTPS : Microsoft renforce la sécurité d’Internet Explorer 11
avec le support de HSTS pour les sites sécurisés

Microsoft a apporté une mise à jour à son navigateur Internet Explorer pour améliorerai sa sécurité grâce à la prise en charge de HTTP Strict Transport Security (HSTS).

La norme HSTS est un mécanisme de sécurité visant à combler une attaque contre TLS. Concrètement, HTTP Strict permet à un site sécurisé de déclarer qu’il n’est accessible qu’en HTTPS (en utilisant l’entête Strict-Transport-Security). Dès lors qu’un utilisateur a visité le site, si celui-ci au cours de ses prochaines navigations se fait tromper par un pirate qui a réussi à le faire se connecter en HTTP, le navigateur se souviendra de la déclaration et ne permettra pas la connexion non sécurisée, car une redirection automatique sera effectuée vers le site sécurisé. Le navigateur bloque également la connexion s’il se rend compte que le certificat de chiffrement utilisé n’est pas valide

Microsoft avait introduit ce mécanisme dans Internet Explorer 11 depuis février dernier. Cependant, il était disponible uniquement pour la préversion de Windows 10. Avec la mise à jour mensuelle de ce mois (Patch Tuesday), Microsoft a étendu le mécanisme à Internet Explorer 11 sur Windows 7 et Windows 8.1.

HSTS est également implémenté dans le nouveau navigateur Microsoft Edge, qui est disponible uniquement avec Windows 10.

Internet Explorer 11 et Edge utilisent une liste de sites Web implémentant HTTPS pour effectuer un contrôle par défaut. La liste est maintenue par Chrome et elle est également utilisée par les navigateurs Firefox et Chrome.

Les développeurs qui veulent profiter de cette politique doivent se rassurer que l’accès à l’ensemble des pages de leur site Web se fait uniquement en HTTPS, avant de proposer leur site via le formulaire mis à leur disposition par Chrome.

En dehors de cette nouveauté, le Patch Tuesday de juin corrige également 24 failles de sécurité dans toutes les versions d’Internet Explorer encore supportées sous Windows Vista, 7, 8, 8.1 et RT, ainsi que Windows Server 2003, 2008, 2008 R2, 2012 et 2012 R2. Les failles peuvent permettre l’exécution du code à distance.

Le Patch Tuesday est déployé sur les ordinaires sous Windows, via la fonction de mises à jour Windows Update de Microsoft.

Source : Microsoft


Et vous ?

Pensez-vous que tous les navigateurs devraient implémenter HSTS ?

[FranT]

Tout ce qui tend vers plus de sécurité est forcément louable (non, je ne m'appelle pas Cazeneuve ) mais pour moi on aura fait un pas énorme quand les particuliers que nous sommes pourront enfin se payer un certificat wildcard à des tarifs raisonnables.
En attendant...

[Invité]

J'ai envie de dire "enfin !". Ca évitera de devoir ajouter une règle de redirection pour palier au problème.
Par contre je ne comprends pas trop, FranT... Des autorités de confiance qui délivre des certificats gratuits et reconnus par les principaux navigateur existe déjà. StartSSL par exemple (mais je sais qu'il en existe d'autre), et cela fait des années (au moins 4 ans, autant dire une éternité en informatique) que mon tout petit forum (quelques connexion par jour) utilise un certificat gratuit.

[FranT]

@Ermite Chevelu
Les certificats StartSSL gratuits m'ont bien des fois posé problème.

Et comme il est dit, vivement que l'on voie ce que va donner le projet Let's Encrypt (dont j'avais d'ailleurs eu connaissance sur Developpez.com).