Êtes-vous confronté à des erreurs HSTS frustrantes sur Chrome ou Firefox ? Ne désespérez pas ! Ce guide détaillé a été conçu expressément pour vous.
Nous allons vous expliquer de quoi il s’agit, pourquoi vous rencontrez des erreurs et, surtout, comment désactiver HSTS dans Chrome et Firefox.
Grâce à nos étapes concises et à nos explications claires, vous corrigerez cette erreur technique en un rien de temps. Commençons !
Table des matières
- Qu’est-ce que HSTS ?
- Qu’est-ce que l’erreur HSTS ?
- Comment désactiver HSTS dans le navigateur Chrome ?
- Comment désactiver HSTS dans le navigateur Firefox ?
Qu’est-ce que HSTS ?
HSTS ( HTTP Strict Transport Security) est un mécanisme de sécurité web qui permet de protéger les sites web contre les attaques de type “man-in-the-middle “, telles que les attaques par rétrogradation de protocole et le détournement de cookies. HSTS garantit qu’un navigateur web communique avec un site web uniquement par le biais de connexions sécurisées et cryptées. C’est l’une des mesures de sécurité en ligne les plus efficaces contre le vol de données sensibles.
Comment fonctionne HSTS ?
La mise en œuvre de HSTS consiste à configurer le serveur web pour qu’il inclue l’en-tête HSTS dans les réponses HTTP. Cet en-tête, appelé “Strict-Transport-Security”, spécifie la durée maximale (en secondes) pendant laquelle le navigateur doit appliquer le protocole HTTPS, appelée “max-age”.
L’en-tête peut éventuellement contenir des directives telles que “includeSubDomains”, qui étend la politique HSTS à tous les sous-domaines, et “preload”, qui signale aux navigateurs qu’ils doivent inclure le domaine dans leurs listes de préchargement HSTS. Le fait de figurer sur la liste de préchargement garantit l’application des normes HSTS dès la première visite.
Lorsqu’un utilisateur visite un site compatible HSTS, le navigateur reconnaît l’en-tête HSTS et stocke cette information en interne. L’application est automatique lors des visites ultérieures pendant la durée “max-age” spécifiée.
Même si un utilisateur tente d’accéder au site via “http://” ou clique sur un lien HTTP, le navigateur convertit de manière transparente la demande en HTTPS avant la transmission.
Pendant toute la durée de la politique HSTS, le navigateur utilise systématiquement le protocole HTTPS pour toutes les demandes ultérieures adressées au domaine compatible HSTS, sans tenir compte des tentatives d’accès au site par le biais d’une connexion non cryptée.
Exemples de SSST
Voici quelques exemples d’en-têtes HTTP Strict Transport Security :
En-tête HSTS de base
Strict-Transport-Security : max-age=31536000
Dans cet exemple, la directive max-age est fixée à 31536000 secondes (1 an), ce qui indique que le navigateur doit appliquer la politique HSTS pendant cette durée.
HSTS avec inclusion de sous-domaines
Strict-Transport-Security : max-age=31536000 ; includeSubDomains
Cet exemple inclut la directive includeSubDomains, indiquant que la politique HSTS doit s’appliquer à tous les sous-domaines du domaine actuel.
Précharge HSTS
Strict-Transport-Security : max-age=31536000 ; includeSubDomains ; preload
Cet exemple inclut la directive preload , signalant aux navigateurs que le domaine doit être inclus dans leurs listes de préchargement HSTS. Le fait de figurer sur la liste de préchargement signifie que le système HSTS est appliqué même lors de la toute première visite sur le site web.
HSTS avec un âge maximum personnalisé pour les sous-domaines
Strict-Transport-Security : max-age=31536000 ; max-age=2592000 ; includeSubDomains
Dans cet exemple, le domaine principal a une durée maximale d’un an, tandis que les sous-domaines ont une durée maximale plus courte de 30 jours.
Les administrateurs Web doivent configurer les en-têtes HSTS en fonction de leurs besoins en matière de sécurité et de la structure de leur domaine. Tester et contrôler régulièrement pour une efficacité optimale. Examinons maintenant les avantages et les limites du système HSTS.
Avantages du HSTS
Une configuration HSTS adéquate offre les avantages suivants :
- Atténuation des attaques de l’homme du milieu: HSTS empêche l’écoute et la falsification des données en déjouant les cyber-attaques potentielles.
- Protection contre le détournement de session: HSTS protège contre les vulnérabilités de session en garantissant une transmission sécurisée des cookies de session.
- Prévention de la rétrogradation du protocole: Elle réduit la menace d’attaques utilisant des protocoles de communication non sécurisés.
- Amélioration de la protection de la vie privée des utilisateurs : La confidentialité de l’utilisateur est renforcée par la transmission sécurisée d’informations sensibles, ce qui améliore la confiance dans le site web.
- Prévention des attaques par décodage du SSL: Garantit que les interactions des utilisateurs avec le site web restent cryptées et sécurisées, minimisant ainsi le risque d’attaques réussies de type “SSL strip”.
Limites du HSTS
Comme toute technologie, les paramètres HSTS présentent certaines limites. En voici quelques-unes :
- Dépend de la prise en charge du navigateur : Le déploiement et l’efficacité de HSTS dépendent de la prise en charge du navigateur, et les utilisateurs qui emploient des navigateurs IE non pris en charge ou obsolètes risquent de ne pas bénéficier de ses fonctions de sécurité.
- Persistance stricte de la politique : Une fois que vous avez mis en œuvre HSTS, la politique est persistante pendant une durée déterminée, ce qui rend difficile la révocation ou la modification rapide de la politique en cas de besoin.
- Potentiel pour les certificats expirés: Si le certificat SSL/TLS d’un site web expire, les utilisateurs peuvent avoir des difficultés à accéder au site jusqu’à ce que le certificat soit renouvelé, même si HSTS est en place.
Ensuite, intéressons-nous à l’erreur HSTS. Mais avant de voir comment désactiver HSTS dans Chrome et Firefox, il faut d’abord comprendre ce qu’est l’erreur HSTS et pourquoi elle se produit.
Qu’est-ce que l’erreur HSTS ?
L’erreur HSTS se produit lorsqu’un site qui devrait être chargé via des connexions sécurisées HTTPS est chargé via HTTP (connexions non sécurisées). En conséquence, les navigateurs web tels que Chrome ou Firefox afficheront une erreur HSTS, empêchant l’utilisateur d’accéder au site web. La politique HSTS du site, qui demande aux navigateurs de ne se connecter que via des connexions sécurisées, déclenche cette erreur.
Quelles sont les causes de l’erreur HSTS ?
Lorsqu’un utilisateur rencontre une erreur HSTS, le navigateur affiche généralement un message d’avertissement ou d’erreur, empêchant l’utilisateur d’accéder au site web. Pour résoudre les erreurs HSTS, il faut s’attaquer aux problèmes spécifiques qui les provoquent, comme la mise à jour des certificats SSL, la résolution des problèmes de contenu mixte ou la garantie de l’heure correcte du serveur.
Les erreurs les plus courantes dans ce domaine sont les suivantes
- Problèmes de certificat: S’il y a un problème avec le certificat SSL/TLS du site web, tel qu’un certificat expiré ou invalide, cela peut déclencher une erreur HSTS.
- Politique HSTS invalide: Si le site web envoie une politique HSTS invalide ou mal formatée, les navigateurs peuvent rejeter la connexion.
- Contenu mixte: Si le site web contient un mélange de contenu sécurisé (HTTPS) et non sécurisé (HTTP), il peut déclencher des erreurs HSTS.
- Différence d’horloge: HSTS s’appuie sur l’heure correcte du système à la fois sur le client (l’ordinateur de l’utilisateur) et sur le serveur. Si l’écart de temps est important, il peut provoquer des erreurs HSTS.
Comment désactiver HSTS dans le navigateur Chrome ?
La désactivation de HSTS dans Chrome implique une série d’étapes spécifiques. HTTP Strict Transport Security protège les données sensibles en imposant des connexions https sécurisées. Mais il peut arriver que vous deviez désactiver HSTS en raison de l’erreur “You cannot visit domain.com right now because the website uses HSTS.” ou d’autres problèmes liés à https.
Pour désactiver HSTS, vous devez désactiver les paramètres HSTS dans Chrome.
- Tapez chrome://net-internals/#hsts dans la barre d’adresse pour accéder aux paramètres HSTS de Chrome.
- Recherchez la section Supprimer les politiques de sécurité du domaine dans le menu HSTS. Saisissez le nom de domaine où vous rencontrez l’erreur HSTS dans le champ Domaine et cliquez sur le bouton Supprimer pour supprimer les paramètres HSTS pour ce site.
Si l’erreur persiste, vous pouvez modifier les paramètres HSTS locaux à l’aide de l’éditeur de registre du système d’exploitation Windows :
- Cliquez avec le bouton droit de la souris sur Démarrer, puis sélectionnez Exécuter. Tapez regedit dans la boîte Ouvrir :, puis sélectionnez OK.
- Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome.
- Dans la partie droite de la fenêtre, recherchez la valeur HstsEnabled. Si elle n’est pas là, créez-la en faisant un clic droit sur l’espace vide, en sélectionnant New > DWORD (32-bit) Value, et en la nommant HstsEnabled.
- Double-cliquez sur la valeur nouvellement créée et entrez 0 dans la boîte de données Valeur pour désactiver HSTS.
N’oubliez pas que la désactivation de HSTS peut exposer des données sensibles à des menaces potentielles. Par conséquent, n’utilisez cette méthode que lorsque l’erreur HSTS Chrome perturbe votre navigation, et activez-la une fois que vous avez résolu les problèmes de connexion.
Méthode alternative : Utiliser Chrome DevTools :
- Ouvrez Chrome et naviguez jusqu’au site web sur lequel vous souhaitez désactiver HSTS.
- Ouvrez les DevTools de Chrome en faisant un clic droit sur la page, en sélectionnant Inspecter, puis en allant dans l’onglet Réseau .
- Recharger la page (vous pouvez utiliser Ctrl + R ou Commande + R).
- Recherchez la requête initiale (la première requête effectuée lorsque vous rechargez la page). Il doit s’agir du document HTML.
- Dans la section En-têtes de la demande, recherchez l’en-tête Strict-Transport-Security.
- Vous pouvez modifier la valeur max-age à 0 ou supprimer l’en-tête entier. Cela demandera à Chrome de ne pas appliquer HSTS pour le domaine spécifié.
Comment désactiver HSTS dans le navigateur Firefox ?
Vous pouvez désactiver les paramètres HSTS dans Firefox pour un site spécifique en suivant les étapes suivantes :
- Tapez about:config dans la barre d’adresse et appuyez sur Entrée.
- Acceptez le risque et continuez.
- Dans la barre de recherche, tapez stricttransportsecurity.
- Vous devriez voir une entrée nommée network.stricttransportsecurity.preloadlist. Double-cliquez dessus pour faire basculer la valeur sur false. Cela désactive HSTS.
N’oubliez pas que la désactivation de HSTS supprime les paramètres HSTS de tous les sites web, et pas seulement de celui qui vous pose problème. Maintenant que vous avez suivi ces étapes, vous devez redémarrer Mozilla Firefox pour que les modifications soient prises en compte.
Si vous ne voyez pas les changements après avoir redémarré Firefox, il se peut que vous deviez effacer les données mises en cache. Pour ce faire, allez dans le menu Édition, sélectionnez Préférences, cliquez sur Confidentialité et sécurité, puis cliquez sur le bouton Effacer les données. Veillez à cocher la case Contenu Web en cache et cliquez sur le bouton Supprimer . Après avoir effacé le cache HSTS, redémarrez Firefox.
FAQ
Le système HSTS est-il toujours utilisé ?
Oui, HSTS est toujours utilisé comme mécanisme de sécurité des sites web pour imposer l’utilisation de connexions sécurisées via HTTPS par les navigateurs web et protéger toutes les données en transit.
Tous les navigateurs supportent-ils HSTS ?
Oui, la plupart des navigateurs modernes, y compris Chrome, Firefox, Safari, Edge et d’autres, prennent en charge le HSTS. Cependant, il est toujours conseillé de consulter la documentation spécifique de chaque navigateur pour obtenir les informations les plus récentes.
HSTS est-il activé par défaut ?
HSTS n’est pas activé par défaut sur tous les sites web. Les administrateurs de sites web doivent configurer leurs serveurs pour qu’ils incluent l’en-tête HSTS dans la réponse, en spécifiant la durée pendant laquelle HSTS doit être appliqué. Lorsqu’un navigateur rencontre l’en-tête HSTS, il se souvient d’appliquer les connexions sécurisées pendant la durée spécifiée.
Dois-je activer HSTS ?
Nous recommandons d’implémenter HSTS pour renforcer la sécurité en veillant à ce que toutes les communications avec le serveur se fassent par le biais d’une connexion HTTPS sécurisée. Cependant, ce n’est pas obligatoire et la décision d’activer HSTS dépend des exigences et considérations spécifiques en matière de sécurité.
Quels sont les risques liés à l’absence de HSTS ?
Sans HSTS, il existe un risque d’attaques de type “man-in-the-middle” où un attaquant pourrait potentiellement intercepter et manipuler des connexions non sécurisées. HSTS contribue à atténuer ce risque en appliquant le protocole HTTPS et en protégeant les utilisateurs contre certains types de menaces de sécurité.
Dois-je supprimer les paramètres HSTS ?
La suppression des paramètres HSTS n’est généralement pas nécessaire pour les utilisateurs réguliers. Toutefois, si vous rencontrez des problèmes persistants pour accéder à un site web en raison d’une erreur de confidentialité ou d’informations HSTS incorrectes, désactivez les paramètres HSTS et voyez si cela peut vous aider.
Le HSTS est-il sûr ?
Oui, HSTS est sûr et renforce la sécurité du web en garantissant que la communication avec un site web s’effectue par le biais d’un protocole HTTPS sécurisé. Cependant, comme toute mesure de sécurité, vous devez la configurer correctement pour éviter les problèmes potentiels et autres erreurs HTTPS.
Y a-t-il des inconvénients à l’utilisation de HSTS ?
Si le site ne prend pas en charge HTTPS, HSTS peut potentiellement bloquer l’accès des utilisateurs à un site web en cas de problèmes avec le certificat SSL/TLS. Chaque site web devrait activer le protocole HTTPS et adhérer aux pratiques standard en matière de référencement et de sécurité.
Conclusion
Désactiver les paramètres HSTS dans Chrome et Firefox est facile une fois que vous connaissez la marche à suivre. Ne laissez pas les erreurs HSTS affecter votre navigation. Avec quelques ajustements ici et là, vous pourrez contrôler les paramètres HSTS et résoudre les problèmes potentiels.
Maintenant que vous savez comment désactiver HSTS dans Chrome et Firefox, vous devriez pouvoir identifier et résoudre les erreurs de navigation plus efficacement. Toutefois, n’oubliez pas que la désactivation des fonctions de sécurité ne doit être envisagée qu’en dernier recours.
Economisez 10% sur les certificats SSL en commandant aujourd’hui!
Émission rapide, cryptage puissant, confiance de 99,99 % du navigateur, assistance dédiée et garantie de remboursement de 25 jours. Code de coupon: SAVE10