Il est étonnant que tant de mesures spécifiques et actives doivent encore être prises pour s’assurer que le trafic HTTPS de nos clients est vraiment aussi sûr que nous et eux l’espérons. Heureusement, ces étapes sont rapides et simples lorsque vous pouvez utiliser nos règles de gestion du trafic flightPATH. flightPATH est un moteur de règles dynamique, basé sur les événements, développé par edgeNEXUS pour manipuler et acheminer intelligemment le trafic IP, HTTP et HTTPS équilibré en charge. Il est hautement configurable et puissant, tout en étant très facile à utiliser. L’une de ces règles vous permet d’ajouter un en-tête HTTP Strict-Transport-Security aux réponses des serveurs web desservis par des sites protégés par SSL/TLS.
L’en-tête HTTP Strict-Transport-Security et sa valeur garantissent que les clients de votre site n’effectueront jamais de requêtes que sur https://. Même si vos vrais serveurs web sont installés derrière un proxy ou un équilibreur de charge (vous savez, un edgeNEXUS ALB-X) et qu’ils ignorent que leur contenu est en fait servi sur https://, s’ils envoient des liens https:// dans les réponses, le client utilisera toujours https:// pour tous les liens. En d’autres termes, que nos vrais serveurs web envoient des liens sécurisés ou non, les clients s’assureront que tous les liens qu’ils suivent le sont.
Si vos développeurs font une erreur, ou si l’équipe d’exploitation en fait une, aucun problème. Il n’y a aucune chance qu’un navigateur client fasse une demande non sécurisée tant qu’il reçoit cet en-tête et en tient compte (ce que font tous les navigateurs contemporains les plus courants). En supposant qu’un client arrive sur votre site protégé par SSL/TLS, vous pouvez vous assurer qu’il le fera en toute sécurité et de manière cohérente par la suite. Nous avons également une règle pour rediriger les requêtes HTTP vers HTTPS, juste au cas où vous en auriez besoin (vous la trouverez installée par défaut).
Il s’agit de l’une des nombreuses règles de gestion du trafic flightPATH que vous pouvez déployer pour améliorer la sécurité de votre site et de ses utilisateurs. Pour d’autres règles tout aussi faciles à déployer en quelques clics, consultez notre blog.
Comme nous le soulignons souvent, le grand avantage de l « utilisation d’un équilibreur de charge est qu’il suffit de le faire en un seul endroit pour le déployer sur tous nos serveurs (et sites). Nous n’avons pas besoin de faire appel à des développeurs ou à des reconfigurations d’Apache. Sur l » équilibreur de charge edgeNEXUS, il suffit d’importer un modèle de configuration jetPACK et d’assigner une règle de trafic flightPATH au(x) service(s) virtuel(s) que nous souhaitons protéger.
La règle n’ajoute l’en-tête que s’il n’existe pas, de sorte qu’elle fonctionnera même si nos serveurs web l’insèrent déjà ou s’ils ne l’insèrent que pour certaines pages. Cette règle devrait faire partie de votre configuration standard de service virtuel – vous n’avez rien à perdre, quel que soit le site, même si, bien entendu, il est toujours recommandé de procéder à des essais. Vous pouvez télécharger ce jetPACK et beaucoup d’autres sur le site Github d’edgeNEXUS ici
Il s’agit de l’une des nombreuses règles flightPATH que nous avons développées et que vous pouvez déployer pour améliorer la sécurité de votre site et de ses utilisateurs. Pour en savoir plus sur les en-têtes HTTP liés à la sécurité, consultez ces articles :
- Simplification des en-têtes HTTP de sécurité avec edgeNEXUS Traffic Management : X-Content-Type-Options
- Un en-tête de sécurité HTTP pour lutter contre le « Clickjacking » – Comment améliorer la sécurité de votre site avec l’en-tête d’options X-Frame
