Après avoir poussé à l’adoption générale du HTTPS, Google s’engage pour une large diffusion du HSTS.
Sur son blog, Google annonce qu’il commence à utiliser un autre outil pour améliorer la sécurité sur le web: la liste de précontrainte HTTPS Strict Transport Security (HSTS).
Pas de préchargement de page en mode non sécurisé
La liste de préchargement HSTS est intégrée à tous les principaux navigateurs (Chrome, Firefox, Safari, Internet Explorer / Edge et Opera). Elle se compose d’une liste de noms d’hôtes pour lesquels les navigateurs appliquent automatiquement les connexions sécurisées HTTPS. Par exemple, gmail.com est sur la liste, ce qui signifie que si l’utilisateur tape http://gmail.com, le navigateur modifie d’abord sur https://gmail.com avant d’envoyer la demande. Cela offre une sécurité accrue car le navigateur ne charge alors jamais une page de redirection http-to-https, qui pourrait être interceptée.
Google précise que la liste de préchargement HSTS peut contenir des domaines ou des sous-domaines individuels et même des domaines de premier niveau (TLD). Le TLD est la dernière partie du nom de domaine, par exemple, .com, .net ou .org. Google annonce déployer maintenant HSTS pour un plus grand nombre de TLD, en commençant par .foo et .dev.
Pour en savoir plus sur cette nouvelle, voici le lien vers l’article de Google
Broadening HSTS to secure more of the Web
Posted by Ben McIlwain, Google Registry The security of the Web is of the utmost importance to Google. One of the most powerful tools in th…