Vérificateur de préchargement HSTS
Vérifiez si votre domaine est sur la liste de préchargement HSTS et validez votre en-tête Strict-Transport-Security. Vérifie les drapeaux max-age, includeSubDomains et preload requis pour le préchargement Chrome/Firefox. Obtenez le statut d'admissibilité et le score de configuration.
Comment utiliser Vérificateur de préchargement HSTS
- 1Entrez votre nom de domaine pour vérifier la configuration HSTS.
- 2L'outil récupère l'en-tête Strict-Transport-Security de votre site et l'analyse.
- 3L'adhésion à la liste de préchargement est vérifiée par rapport à la base de données de préchargement HSTS de Chrome/Firefox.
- 4Les exigences d'admissibilité et les problèmes de configuration sont affichés.
ZenovayAnalytics
Analytics sans aucun bandeau cookies.
- Suivi des visiteurs en temps réel
- Vie privée d'abord, sans bandeau cookies
- Installé en deux minutes
Outils connexes
Générateur de Mot de Passe
Générez des mots de passe forts et aléatoires avec longueur, caractères et complexité personnalisables.Vérificateur de Force de Mot de Passe
Vérifiez la force de votre mot de passe. Obtenez un temps de fissuration estimé et des suggestions d'amélioration.Générateur HMAC
Générez des signatures HMAC en utilisant SHA-256, SHA-384 ou SHA-512 avec l'API Web Crypto.Chiffrement/Déchiffrement AES
Chiffrez et déchiffrez du texte avec AES-GCM et la dérivation de clé PBKDF2. S'exécute entièrement dans votre navigateur.Questions fréquemment posées
Qu'est-ce que HSTS et pourquoi est-il important ?▾
HTTP Strict Transport Security (HSTS) indique aux navigateurs que votre site ne doit être accessible qu'en HTTPS, jamais en HTTP. Une fois qu'un navigateur voit l'en-tête Strict-Transport-Security, il convertira automatiquement toutes les requêtes HTTP en HTTPS pour la durée du max-age. Cela prévient les attaques de déclassement SSL où les attaquants interceptent le trafic HTTP avant qu'il puisse rediriger vers HTTPS.
Qu'est-ce que la liste de préchargement HSTS ?▾
La liste de préchargement HSTS est une liste codée en dur de domaines intégrée dans les navigateurs (Chrome, Firefox, Safari, Edge) qui sont toujours chargés en HTTPS — même lors de la toute première visite. Pour figurer sur la liste de préchargement, votre domaine doit avoir HSTS avec max-age ≥ 31 536 000, includeSubDomains et la directive preload.
Quelles sont les exigences d'éligibilité au préchargement HSTS ?▾
Votre domaine doit : (1) Servir un certificat HTTPS valide, (2) Rediriger tout le trafic HTTP vers HTTPS, (3) Avoir l'en-tête Strict-Transport-Security avec max-age d'au moins 31 536 000 (1 an), (4) Inclure la directive includeSubDomains, et (5) Inclure la directive preload. Soumettez sur hstspreload.org.
Quelle valeur max-age devrais-je utiliser ?▾
Pour le déploiement initial, commencez avec un max-age court (ex. 300 secondes) pour tester sans bloquer les visiteurs. Augmentez progressivement à 1 mois, puis 6 mois, puis 1 an (31 536 000 secondes). AVERTISSEMENT : Une fois HSTS actif avec un long max-age, vous ne pouvez pas facilement revenir à HTTP.
HSTS protège-t-il contre toutes les attaques MITM ?▾
HSTS protège contre les attaques de déclassement SSL après la première visite. Cependant, la première visite est encore vulnérable si l'utilisateur se connecte via HTTP (le problème TOFU — Trust On First Use). La liste de préchargement résout ce problème. HSTS ne protège pas contre la compromission des autorités de certification — cela nécessite la surveillance Certificate Transparency (CT) et les enregistrements DNS CAA.