Bonjour @aeris Comment se fait-il que https://tls.imirhil.fr/https/thebundy.fr ne détecte pas le HSTS qui pourtant me semble bien activé pour le domaine ? Qu'ais je pu oublier ? Je sèche un peu...
@aeris Quelle réactivité ;) Merki. Pourtant dans le vhost, j'ai bien un header always set.........
@aeris Comprends pas, le curl -sI https://thebundy.fr me renvoie bien l'entête....
@Sangfroid Ptête parce que ton IPv6 est fuckée ? 🤔
@aeris Faut que je vire l'entrée DNS en effet, mais le reste répond bien côté ipv4... La dernière fois j'ai vu que tu faisais un curl -sI https://site.web | rg strict-transport-security ... tu ne ferais pas la même chose sur cryptcheck ? Car Apache renvoie des majuscules : Strict-Transport-Security ?
@Sangfroid Le problème est plutôt que la lib HTTP est agnostique IPv6/IPv4, donc tape sur IPv6… qui explose. L’en-tête n’apparaît jamais…
@aeris Ah ok, bon, je vais soit traiter mon ipv6, soit virer l'entrée DNS, merci pour les tuyaux ;) !
@aeris Purée, c'était tellement simple, j'avais d'autres domaines dans le même cas, suppression de l'entrée AAAA et Cryptcheck retrouve mes entêtes et A+
Pour le domaine que j'avais mis en exemple, ça m'a quand même permis de creuser et de me rendre compte que les bonnes pratiques HSTS n'étaient pas respectées.
Merci à toi o/
@Sangfroid À mon avis pas actif sur HEAD et hors 200. Comme d’hab il manque le « always » sur le header 🤣