Suivre

Bonjour @aeris Comment se fait-il que tls.imirhil.fr/https/thebundy. ne détecte pas le HSTS qui pourtant me semble bien activé pour le domaine ? Qu'ais je pu oublier ? Je sèche un peu...

@Sangfroid À mon avis pas actif sur HEAD et hors 200. Comme d’hab il manque le « always » sur le header 🤣

@aeris Quelle réactivité ;) Merki. Pourtant dans le vhost, j'ai bien un header always set.........

@aeris Faut que je vire l'entrée DNS en effet, mais le reste répond bien côté ipv4... La dernière fois j'ai vu que tu faisais un curl -sI https://site.web | rg strict-transport-security ... tu ne ferais pas la même chose sur cryptcheck ? Car Apache renvoie des majuscules : Strict-Transport-Security ?

@Sangfroid Le problème est plutôt que la lib HTTP est agnostique IPv6/IPv4, donc tape sur IPv6… qui explose. L’en-tête n’apparaît jamais…

@aeris Ah ok, bon, je vais soit traiter mon ipv6, soit virer l'entrée DNS, merci pour les tuyaux ;) !

@aeris Purée, c'était tellement simple, j'avais d'autres domaines dans le même cas, suppression de l'entrée AAAA et Cryptcheck retrouve mes entêtes et A+
Pour le domaine que j'avais mis en exemple, ça m'a quand même permis de creuser et de me rendre compte que les bonnes pratiques HSTS n'étaient pas respectées.
Merci à toi o/

Inscrivez-vous pour prendre part à la conversation
Mastodon Fdlibre

Serveur réservé aux copains qui le souhaitent, vous savez où me trouver.