logo
GeekFormat

Analyseur HSTS

Analyseur Strict-Transport-Security

Analysez si la combinaison HSTS max-age, includeSubDomains et preload répond aux exigences du navigateur et de la liste de preload.

Résumé de l'analyse

max-age
365d 0h
includeSubDomains
Yes
preload
Yes
Directive Count
3
La structure HSTS semble ne pas avoir d'erreurs évidentes

Constructeur

max-age=31536000; includeSubDomains; preload

Aperçu JSON

{
  "directives": [
    {
      "key": "max-age",
      "value": "31536000"
    },
    {
      "key": "includesubdomains",
      "value": null
    },
    {
      "key": "preload",
      "value": null
    }
  ],
  "maxAgeSeconds": 31536000,
  "includeSubDomains": true,
  "preload": true,
  "warnings": []
}

Visualisez HSTS en ligne, jugez d'abord si la stratégie de force HTTPS est stable.

Recommandations connexes

Cas d'utilisation

  • Avant de forcer HTTPS sur tout le site, confirmez d'abord si la durée HSTS et la stratégie de sous-domaines conviennent à l'environnement actuel
  • Configurez une valeur max-age raisonnable via le générateur lors de la rectification de sécurité et cochez includeSubDomains
  • Auto-vérifiez si la configuration inclut la directive preload avant de demander HSTS preload pour répondre aux exigences du navigateur
  • Lors du débogage des problèmes d'accès HTTPS dégradé, confirmez si l'en-tête de réponse HSTS est correctement renvoyé et analysez chaque directive

Fonctionnalités

  • Directives clés décomposées clairement : durée, couverture de sous-domaines, conditions de preload ne sont plus mélangées
  • Auto-vérification avant de forcer HTTPS : évitez d'amplifier immédiatement une configuration incorrecte à tout le site
  • Auto-vérification avant preload : aide à juger à l'avance si l'en-tête HSTS est proche des exigences de preload
  • Compréhension rapide de la configuration : résultats affichés intuitivement, pratique pour la collaboration entre développement, administration et sécurité

Comment utiliser

  1. Collez le contenu de l'en-tête de réponse HSTS dans la zone d'analyse, ou utilisez le générateur pour remplir le nombre de secondes max-age et cocher les options
  2. En mode analyse, consultez max-age (durée lisible), includeSubDomains, preload et les informations d'avertissement
  3. En mode génération, configurez le nombre de secondes max-age, cochez les options includeSubDomains et preload
  4. Copiez le contenu HSTS généré pour la configuration serveur ou couvrez le contenu de la zone de saisie pour continuer le débogage

FAQ

À quoi sert HSTS ?

HSTS indique au navigateur de n'utiliser que HTTPS pour accéder à ce site dans le futur, réduisant ainsi les accès dégradés et les attaques de type homme du milieu. Mais il n'est pas adapté de monter aveuglément la stratégie avant qu'elle ne soit clairement pensée.

Que représentent respectivement max-age, includeSubDomains et preload ?

max-age indique la durée de validité de HSTS, includeSubDomains indique qu'il s'applique également aux sous-domaines, et preload est lié à la liste de préchargement du navigateur. L'outil vous aide à décomposer chaque élément.

Convient-il pour vérifier si un site répond aux exigences de HSTS preload ?

Oui. Il peut vous aider à vérifier si les champs clés sont complets, facilitant la pré-évaluation des conditions de base pour entrer dans la liste de préchargement.

Pourquoi vérifier HSTS avant le lancement ?

Si la configuration est incorrecte, elle peut entraîner une stratégie HTTPS trop lâche ou trop stricte. Analyser une fois avant le lancement permet de détecter plus tôt les champs manquants, les valeurs irraisonnables ou la couverture incomplète des sous-domaines.