http source Flickr from jeffsmallwood

Google souhaite encore améliorer la sécurité du web avec HSTS

Après avoir poussé à l’adoption générale du HTTPS, Google s’engage pour une large diffusion du HSTS.

un petit clic pour ma veille

Sur son blog, Google annonce qu’il commence à utiliser un autre outil pour améliorer la sécurité sur le web: la liste de précontrainte HTTPS Strict Transport Security (HSTS).

Pas de préchargement de page en mode non sécurisé

La liste de préchargement HSTS est intégrée à tous les principaux navigateurs (Chrome, Firefox, Safari, Internet Explorer / Edge et Opera). Elle se compose d’une liste de noms d’hôtes pour lesquels les navigateurs appliquent automatiquement les connexions sécurisées HTTPS. Par exemple, gmail.com est sur la liste, ce qui signifie que si l’utilisateur tape http://gmail.com, le navigateur modifie d’abord sur https://gmail.com avant d’envoyer la demande. Cela offre une sécurité accrue car le navigateur ne charge alors jamais une page de redirection http-to-https, qui pourrait être interceptée.

Google précise que la liste de préchargement HSTS peut contenir des domaines ou des sous-domaines individuels et même des domaines de premier niveau (TLD). Le TLD est la dernière partie du nom de domaine, par exemple, .com, .net ou .org. Google annonce déployer maintenant HSTS pour un plus grand nombre de TLD, en commençant par .foo et .dev.

Pour en savoir plus sur cette nouvelle, voici le lien vers l’article de Google

Broadening HSTS to secure more of the Web

The security of the Web is of the utmost importance to Google. One of the most powerful tools in the Web security toolbox is ensuring that connections to websites are encrypted using HTTPS, which prevents Web traffic from being intercepted, altered, or misdirected in transit.

Veilleur et spécialiste en cybersécurité