ADC

Configuration de la prise en charge de la sécurité stricte du transport HTTP (HSTS)

Les appliances Citrix ADC prennent en charge la sécurité de transport stricte HTTP (HSTS) en tant qu’option intégrée dans les profils SSL et les serveurs virtuels SSL. À l’aide de HSTS, un serveur peut imposer l’utilisation d’une connexion HTTPS pour toutes les communications avec un client. En d’autres termes, le site n’est accessible qu’en utilisant HTTPS. La prise en charge de HSTS est requise pour la certification A+ des laboratoires SSL.

Activez HSTS dans un profil frontal SSL ou sur un serveur virtuel SSL. Si vous activez les profils SSL, vous devez activer HSTS sur un profil SSL au lieu de l’activer sur un serveur virtuel SSL. En définissant l’en-tête d’âge maximum, vous spécifiez que HSTS est en vigueur pendant cette durée pour ce client. Vous pouvez également spécifier si les sous-domaines doivent être inclus. Par exemple, vous pouvez spécifier que les sous-domaines de www.exemple.com, tels que www.abc.exemple.com et www.xyx.exemple.com, ne soient accessibles qu’en utilisant HTTPS en définissant le IncludeSubdomains paramètre sur YES.

Si vous accédez à des sites Web prenant en charge HSTS, l’en-tête de réponse du serveur contient une entrée similaire à la suivante :

En-tête de réponse HSTS

Le client stocke ces informations pendant la durée spécifiée dans le paramètre max-age. Pour les demandes ultérieures à ce site Web, le client vérifie sa mémoire à la recherche d’une entrée HSTS. Si une entrée est trouvée, elle accède à ce site Web uniquement en utilisant HTTPS.

Vous pouvez configurer HSTS au moment de la création d’un profil SSL ou d’un serveur virtuel SSL à l’aide de la commande add. Vous pouvez également configurer HSTS sur un profil SSL existant ou un serveur virtuel SSL en le modifiant à l’aide de la commande set.

Configurer HSTS à l’aide de la CLI

À l’invite de commandes, tapez :

add ssl vserver <vServerName> -maxage <positive_integer> -IncludeSubdomains ( YES | NO)
set ssl vserver <vServerName> -HSTS ( ENABLED | DISABLED )
<!--NeedCopy-->

OU

add ssl profile <name> -maxage <positive_integer> -IncludeSubdomains ( YES | NO )
set ssl profile <name> -HSTS ( ENABLED | DISABLED )

Arguments

HSTS

         State of HTTP Strict Transport Security (HSTS) on an SSL virtual server or SSL profile. Using HSTS, a server can enforce the use of an HTTPS connection for all communication with a client.

          Possible values: ENABLED, DISABLED

          Default: DISABLED

maxage

          Set the maximum time, in seconds, in the strict transport security (STS) header during which the client must send only HTTPS requests to the server.

          Default: 0

          Minimum: 0

          Maximum: 4294967294

IncludeSubdomains

         Enable HSTS for subdomains. If set to Yes, a client must send only HTTPS requests for subdomains.

          Possible values: YES, NO

          Default: NO
<!--NeedCopy-->

Dans les exemples suivants, le client doit accéder au site Web et à ses sous-domaines pendant 157 680 000 secondes uniquement en utilisant HTTPS.

add ssl vserver VS-SSL –maxage 157680000 –IncludeSubdomain YES
set ssl vserver VS-SSL –HSTS ENABLED
<!--NeedCopy-->
add sslProfile hstsprofile –HSTS ENABLED –maxage 157680000 –IncludeSubdomain YES
set sslProfile hstsprofile –HSTS ENABLED
<!--NeedCopy-->

Configurer HSTS à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, sélectionnez un serveur virtuel de type SSL et cliquez sur Modifier.

Effectuez les étapes suivantes si le profil SSL par défaut est activé sur l’appliance.

  1. Sélectionnez un profil SSL et cliquez sur Modifier.

  2. Dans Paramètres de base, cliquez sur l’icône en forme de crayon pour modifier les paramètres. Faites défiler vers le bas et sélectionnez HSTS et Include Subdomains.

    Activer HSTS

Effectuez les étapes suivantes si le profil SSL par défaut n’est pas activé sur l’appliance.

  1. Dans Paramètres avancés, sélectionnez Paramètres SSL.

  2. Sélectionnez HSTS et Inclure les sous-domaines.

    Activer HSTS sur un serveur virtuel

Prise en charge de la précharge HSTS

L’appliance Citrix ADC prend en charge l’ajout d’un préchargement HSTS dans l’en-tête de réponse HTTP. Pour inclure le préchargement, vous devez définir le preload paramètre du serveur virtuel SSL ou du profil SSL sur YES. L’appliance inclut ensuite la précharge dans l’en-tête de réponse HTTP au client. Vous pouvez configurer cette fonctionnalité à l’aide de la CLI et de l’interface graphique. Pour plus d’informations sur la précharge HSTS, reportez-vous à la section https://hstspreload.org/.

Voici des exemples d’en-têtes HSTS valides avec préchargement :

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
<!--NeedCopy-->
Strict-Transport-Security: max-age=63072000; preload
<!--NeedCopy-->

Configurer le préchargement HSTS à l’aide de la CLI

À l’invite de commandes, tapez :

add ssl vserver <vServerName> -maxage <positive_integer> -preload ( YES | NO )
set ssl vserver <vServerName> -HSTS ( ENABLED | DISABLED )
<!--NeedCopy-->

OU

add ssl profile <name> -maxage <positive_integer> -IncludeSubdomains ( YES | NO ) -preload ( YES | NO )
set ssl profile <name> -HSTS ( ENABLED | DISABLED )
<!--NeedCopy-->

Configurer le préchargement HSTS à l’aide de l’interface graphique

Effectuez les étapes suivantes si le profil SSL par défaut est activé sur l’appliance.

  1. Accédez à Système > Profils > Profils SSL. Sélectionnez un profil SSL et cliquez sur Modifier.

  2. Dans Paramètres de base, cliquez sur l’icône en forme de crayon pour modifier les paramètres. Faites défiler vers le bas et sélectionnez HSTS et préchargement.

    Activer HSTS

Effectuez les étapes suivantes si le profil SSL par défaut n’est pas activé sur l’appliance.

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels, sélectionnez un serveur virtuel de type SSL et cliquez sur Modifier.

  2. Dans Paramètres avancés, sélectionnez Paramètres SSL.

  3. Sélectionnez HSTS et préchargement.

    Activer HSTS sur un serveur virtuel

Configuration de la prise en charge de la sécurité stricte du transport HTTP (HSTS)