search

Found

info Aperçu

Génère l'en-tête Strict-Transport-Security et le valide selon les cinq règles preload Chromium d'après votre max-age et vos directives.

📘 Mode d'emploi

  1. Choisissez un max-age parmi les valeurs prédéfinies ou saisissez une valeur en secondes
  2. Activez includeSubDomains et preload selon les besoins de votre politique
  3. Consultez l'en-tête Strict-Transport-Security généré et les contrôles d'éligibilité

Générateur et validateur de politique HSTS

Avant d'activer preload, vérifiez que includeSubDomains peut rester activé de façon permanente.

Strict-Transport-Security: max-age=31536000
Copié !

Liste de contrôle d'éligibilité à la preload-list

    La soumission se fait via hstspreload.org. Une fois acceptée, la politique est mise en cache par les navigateurs et son retrait prend plusieurs mois.

    ※ Un déploiement progressif (300 s → 1 jour → 1 semaine → 1 mois → 1 an) limite le coût d'un éventuel retour arrière.

    ※ HSTS est défini par RFC 6797 ; l'éligibilité à la preload-list suit la politique du projet Chromium publiée sur hstspreload.org.

    grid_view Similaires

    Article

    Générateur et validateur de politique HSTS | En-tête et critères preload sur un seul écran

    Choisissez un max-age, activez includeSubDomains et preload, et obtenez un en-tête Strict-Transport-Security prêt à coller, accompagné d'un contrôle en cinq points OK / ÉCHEC / ALERTE face aux règles de la preload-list Chromium.

    💡 À propos de cet outil

    HTTP Strict Transport Security (HSTS) est un en-tête de réponse qui indique au navigateur « utilise toujours HTTPS pour ce domaine ». Écrire l'en-tête est la partie facile. Ce qui pose problème, c'est la liste de préchargement (preload list) : une liste maintenue par le projet Chromium et intégrée d'office dans les navigateurs. Une fois votre domaine inscrit, HTTPS est imposé avant même la première requête, mais la soumission exige trois conditions réunies : un max-age d'au moins un an (31536000 secondes), la directive includeSubDomains et la directive preload.

    Soumettre un en-tête qui néglige l'une de ces conditions, et hstspreload.org le refuse, vous faisant perdre un cycle de correction et de renvoi. À l'inverse, ajouter preload sans en mesurer la portée impose HTTPS à tous vos sous-domaines — tableaux de bord internes et anciens hôtes compris — et bloque certains utilisateurs. Cet outil place le générateur d'en-tête et la liste de contrôle côte à côte, pour confirmer avant l'envoi que votre en-tête respecte les règles et que vous n'avez pas créé de combinaison contradictoire telle que max-age=0 associé à preload.

    Les valeurs prédéfinies couvrent 0 (révoquer), 5 minutes, 1 jour, 1 semaine, 30 jours, 180 jours, 1 an et 2 ans. Pour un premier déploiement, la prudence consiste à démarrer avec une valeur courte puis à l'augmenter par paliers.

    🧐 Questions fréquentes

    Q. Quel est le max-age minimal pour la preload-list ? R. La soumission exige au moins 31536000 secondes (1 an). Vérifiez que la ligne « max-age est au moins 31536000 secondes » passe à OK. Les 180 jours (15552000 s) n'atteignent pas l'exigence d'un an et restent donc insuffisants pour la soumission.

    Q. Que fait exactement max-age=0 ? R. Il demande au navigateur d'effacer toute politique HSTS stockée pour l'hôte, ce qui sert à revenir en arrière sur HSTS. Le combiner avec preload crée une contradiction, d'où l'ÉCHEC affiché pour cette association dans la liste.

    Q. Quelle est la portée d'includeSubDomains ? R. Il applique la politique à tous les sous-domaines, et pas seulement au domaine racine. Il est obligatoire pour preload, mais tout sous-domaine non servi en HTTPS devient inaccessible : inventoriez vos sous-domaines avant de l'activer.

    Q. Peut-on annuler une inscription preload ? R. Vous pouvez demander un retrait, mais les caches des navigateurs mettent plusieurs mois à se mettre à jour. Considérez preload comme quasiment irréversible et décidez en conséquence.

    Q. Pourquoi augmenter max-age par paliers plutôt que passer directement à un an ? R. Une valeur courte limite le coût d'un retour arrière si vous détectez une mauvaise configuration. L'échelle habituelle est 5 min → 1 jour → 1 semaine → 1 mois → 1 an.

    📚 Le saviez-vous

    HSTS est défini par le RFC 6797, mais la preload-list ne fait partie d'aucun RFC : elle existe en tant que politique publique du projet Chromium sur hstspreload.org. Vous manipulez donc deux couches : un en-tête normalisé, surmonté d'une liste pilotée par les éditeurs de navigateurs.

    Cette liste n'est pas réservée à Chrome. Firefox, Safari et Edge l'intègrent aussi, si bien qu'une seule inscription se propage à tous les grands navigateurs. Une astuce courante dans les discussions sécurité : inscrire un domaine fraîchement acheté sur la preload-list immédiatement, afin que l'application de HTTPS débute depuis un état sans historique en HTTP non chiffré.