[Résolu] HSTS Preloading et authentification Rutorrent

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Résolu] HSTS Preloading et authentification Rutorrent

laster13

Bonjour à tous

Je souhaiterai pouvoir m'inscrire sur la liste HSTS Preloading mais pour cela il faut que HSTS soit actif sur le domaine et tous les sous domaines. Hors rutorrent beneficie d'une authentification web comme expliqué dans le tuto de @ex_rat qui empêche l'activation du HSTS malgré cette ligne rajoutée dans ssl_params.

add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload";

Pour que cela fonctionne il faudrait pouvoir mettre

add_header Strict-Transport-Security max-age=31536000 always;

hors le site https://hstspreload.org impose de rajouter "includeSubdomains; preload"

D'autant qu'à priori cela peut créer une faille de securité
https://github.com/kubernetes/ingress-nginx/issues/466

Avez vous une idée

Merci

laster13

laster13
Bonsoir à tous

Je laisse la réponse au cas ou l'un d'entre vous en aurait besoin un jour.

En fait pour que le HSTS soit actif derrière une authentification

"www-authenticate: Basic realm="seedbox"

il faut rajouter always à la fin.

add_header Strict-Transport-Security "max-age=31536000; includeSubdomains; preload" always;

même chose pour

add_header X-Frame-Options SAMEORIGIN always;
add_header X-Content-Type-Options nosniff always;
add_header X-XSS-Protection "1; mode=block" always;
add_header Referrer-Policy "no-referrer" always;
add_header Content-Security-Policy "form-action 'none'; 'block-all-mixed-content'; 'upgrade-insecure-requests', frame-ancestors https://*.domain.ltd" always;
etc ...

du coup voila le résultat

root@mail:/tmp# curl -I https://domain.ltd
HTTP/2 401
server: nginx
date: Mon, 07 May 2018 17:33:32 GMT
content-type: text/html; charset=utf-8
content-length: 188
www-authenticate: Basic realm="seedbox"
strict-transport-security: max-age=31536000; includeSubdomains; preload
x-frame-options: SAMEORIGIN
x-content-type-options: nosniff
x-xss-protection: 1; mode=block
referrer-policy: no-referrer
content-security-policy: form-action 'none'; 'block-all-mixed-content'; 'upgrade-insecure-requests', frame-ancestors https://*.domain.ltd

Config pour rutorrent😏

Hardware

J'avais jamais utilisé l'option always de la directive add_header. Bon exemple d'utilisation 😉