Paramètres HSTS pour un site web <hsts>
Vue d’ensemble
L’élément <hsts> de l’élément <site> contient des attributs qui vous permettent de configurer les paramètres HTTP Strict Transport Security (HSTS) pour un site sur IIS 10.0 versions 1709 et ultérieures.
Remarque
Si l’élément <hsts> est configuré à la fois dans la section <siteDefaults> et dans la section <site> pour un site spécifique, la configuration de la section <site> est utilisée pour ce site.
Compatibilité
| Version | Notes |
|---|---|
| IIS 10.0 version 1709 | L’élément <hsts> de l’élément <site> a été introduit dans IIS 10.0 version 1709. |
| IIS 10.0 | S/O |
| IIS 8.5 | S/O |
| IIS 8.0 | S/O |
| IIS 7.5 | S/O |
| IIS 7.0 | S/O |
| IIS 6.0 | S/O |
Programme d’installation
L’élément <hsts> de l’élément <site> est inclus dans l’installation par défaut d’IIS 10.0 versions 1709 et ultérieures.
Procédure
Aucune interface utilisateur ne vous permet de configurer l’élément <hsts> de l’élément <site> pour IIS 10.0 version 1709. Pour obtenir des exemples de configuration de l’élément <hsts> de l’élément <site> par programmation, consultez la section Exemple de code de ce document.
Configuration
Attributs
| Attribut | Description |
|---|---|
enabled |
Attribut booléen facultatif. Spécifie si HSTS est activé (true) ou désactivé (false) pour un site. Si HSTS est activé, l’en-tête de réponse HTTP Strict-Transport-Security est ajouté quand IIS répond à une requête HTTPS au site web. La valeur par défaut est false. |
max-age |
Attribut uint facultatif. Spécifie la directive max-age dans la valeur du champ d’en-tête de réponse HTTP Strict-Transport-Security. La valeur par défaut est 0. |
includeSubDomains |
Attribut booléen facultatif. Spécifie si la directive includeSubDomains est incluse dans la valeur du champ d’en-tête de réponse HTTP Strict-Transport-Security. Remarque : Activez cet attribut uniquement si tous les sous-domaines offrent effectivement un service HTTP via TLS/SSL. La valeur par défaut est false. |
preload |
Attribut booléen facultatif. Spécifie si la directive preload est incluse dans la valeur du champ d’en-tête de réponse HTTP Strict-Transport-Security. Remarque : Activez cet attribut uniquement si le domaine du site a été envoyé pour inclusion dans la liste de préchargement HSTS. La valeur par défaut est false. |
redirectHttpToHttps |
Attribut booléen facultatif. Spécifie si la redirection HTTP vers HTTPS est activée (true) ou désactivée (false) pour un site. Remarque : L’activation de redirectHttpToHttps applique la redirection HTTP vers HTTPS au niveau du site. Quand IIS redirige une requête HTTP, il remplace le schéma d’URI par « https » et ignore le composant de port. Assurez-vous que la destination de redirection fournit un service HTTP via TLS/SSL sur le port standard 443. La valeur par défaut est false. |
Éléments enfants
Aucune.
Exemple Configuration
L’exemple de configuration suivant montre un site web nommé Contoso pour lequel HSTS est activé avec des liaisons HTTP et HTTPS. L’attribut max-age est défini sur 31536000 secondes (un an) afin que les agents utilisateur considèrent l’hôte comme un hôte HSTS connu dans l’année suivant la réception du champ d’en-tête Strict-Transport-Security. L’attribut includeSubDomains est défini sur true pour spécifier que la stratégie HSTS s’applique à cet hôte HSTS (contoso.com) ainsi qu’à tout sous-domaine (par exemple, www.contoso.com ou marketing.contoso.com). Enfin, l’attribut redirectHttpToHttps est défini sur true afin que toutes les requêtes HTTP adressées au site soient redirigées vers HTTPS.
<site name="Contoso" id="1">
<application path="/" applicationPool="Contoso">
<virtualDirectory path="/" physicalPath="C:\Contoso\Content" />
</application>
<bindings>
<binding protocol="http" bindingInformation="*:80:contoso.com" />
<binding protocol="https" bindingInformation="*:443:contoso.com" sslFlags="0" />
</bindings>
<hsts enabled="true" max-age="31536000" includeSubDomains="true" redirectHttpToHttps="true" />
</site>
Exemple de code
Les exemples de code suivants activent HSTS pour un site web nommé Contoso avec des liaisons HTTP et HTTPS. L’exemple définit l’attribut max-age sur 31536000 secondes (un an) et active les attributs includeSubDomains et redirectHttpToHttps.
AppCmd.exe
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.enabled:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.max-age:31536000" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.includeSubDomains:True" /commit:apphost
appcmd.exe set config -section:system.applicationHost/sites "/[name='Contoso'].hsts.redirectHttpToHttps:True" /commit:apphost
Remarque
Vous devez veiller à définir le paramètre commit sur apphost quand vous utilisez AppCmd.exe pour configurer ces paramètres. Cela valide les paramètres de configuration dans la section d’emplacement appropriée dans le fichier applicationHost.config.
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using(ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection sitesSection = config.GetSection("system.applicationHost/sites");
ConfigurationElementCollection sitesCollection = sitesSection.GetCollection();
ConfigurationElement siteElement = FindElement(sitesCollection, "site", "name", @"Contoso");
if (siteElement == null) throw new InvalidOperationException("Element not found!");
ConfigurationElement hstsElement = siteElement.GetChildElement("hsts");
hstsElement["enabled"] = true;
hstsElement["max-age"] = 31536000;
hstsElement["includeSubDomains"] = true;
hstsElement["redirectHttpToHttps"] = true;
serverManager.CommitChanges();
}
}
private static ConfigurationElement FindElement(ConfigurationElementCollection collection, string elementTagName, params string[] keyValues)
{
foreach (ConfigurationElement element in collection)
{
if (String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase))
{
bool matches = true;
for (int i = 0; i < keyValues.Length; i += 2)
{
object o = element.GetAttributeValue(keyValues[i]);
string value = null;
if (o != null)
{
value = o.ToString();
}
if (!String.Equals(value, keyValues[i + 1], StringComparison.OrdinalIgnoreCase))
{
matches = false;
break;
}
}
if (matches)
{
return element;
}
}
}
return null;
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim sitesSection As ConfigurationSection = config.GetSection("system.applicationHost/sites")
Dim sitesCollection As ConfigurationElementCollection = sitesSection.GetCollection
Dim siteElement As ConfigurationElement = FindElement(sitesCollection, "site", "name", "Contoso")
If (siteElement Is Nothing) Then
Throw New InvalidOperationException("Element not found!")
End If
Dim hstsElement As ConfigurationElement = siteElement.GetChildElement("hsts")
hstsElement("enabled") = True
hstsElement("max-age") = 31536000
hstsElement("includeSubDomains") = True
hstsElement("redirectHttpToHttps") = True
serverManager.CommitChanges()
End Sub
Private Function FindElement(ByVal collection As ConfigurationElementCollection, ByVal elementTagName As String, ByVal ParamArray keyValues() As String) As ConfigurationElement
For Each element As ConfigurationElement In collection
If String.Equals(element.ElementTagName, elementTagName, StringComparison.OrdinalIgnoreCase) Then
Dim matches As Boolean = True
Dim i As Integer
For i = 0 To keyValues.Length - 1 Step 2
Dim o As Object = element.GetAttributeValue(keyValues(i))
Dim value As String = Nothing
If (Not (o) Is Nothing) Then
value = o.ToString
End If
If Not String.Equals(value, keyValues((i + 1)), StringComparison.OrdinalIgnoreCase) Then
matches = False
Exit For
End If
Next
If matches Then
Return element
End If
End If
Next
Return Nothing
End Function
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST");
var sitesCollection = sitesSection.Collection;
var siteElementPos = FindElement(sitesCollection, "site", ["name", "Contoso"]);
if (siteElementPos == -1) throw "Element not found!";
var siteElement = sitesCollection.Item(siteElementPos);
var hstsElement = siteElement.ChildElements.Item("hsts");
hstsElement.Properties.Item("enabled").Value = true;
hstsElement.Properties.Item("max-age").Value = 31536000;
hstsElement.Properties.Item("includeSubDomains").Value = true;
hstsElement.Properties.Item("redirectHttpToHttps").Value = true;
adminManager.CommitChanges();
function FindElement(collection, elementTagName, valuesToMatch)
{
for (var i = 0; i < collection.Count; i++)
{
var element = collection.Item(i);
if (element.Name == elementTagName)
{
var matches = true;
for (var iVal = 0; iVal < valuesToMatch.length; iVal += 2)
{
var property = element.GetPropertyByName(valuesToMatch[iVal]);
var value = property.Value;
if (value != null)
{
value = value.toString();
}
if (value != valuesToMatch[iVal + 1])
{
matches = false;
break;
}
}
if (matches)
{
return i;
}
}
}
return -1;
}
VBScript
Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set sitesSection = adminManager.GetAdminSection("system.applicationHost/sites", "MACHINE/WEBROOT/APPHOST")
Set sitesCollection = sitesSection.Collection
siteElementPos = FindElement(sitesCollection, "site", Array("name", "Contoso"))
If siteElementPos = -1 Then
WScript.Echo "Element not found!"
WScript.Quit
End If
Set siteElement = sitesCollection.Item(siteElementPos)
Set hstsElement = siteElement.ChildElements.Item("hsts")
hstsElement.Properties.Item("enabled").Value = True
hstsElement.Properties.Item("max-age").Value = 31536000
hstsElement.Properties.Item("includeSubDomains").Value = True
hstsElement.Properties.Item("redirectHttpToHttps").Value = True
adminManager.CommitChanges()
Function FindElement(collection, elementTagName, valuesToMatch)
For i = 0 To CInt(collection.Count) - 1
Set element = collection.Item(i)
If element.Name = elementTagName Then
matches = True
For iVal = 0 To UBound(valuesToMatch) Step 2
Set property = element.GetPropertyByName(valuesToMatch(iVal))
value = property.Value
If Not IsNull(value) Then
value = CStr(value)
End If
If Not value = CStr(valuesToMatch(iVal + 1)) Then
matches = False
Exit For
End If
Next
If matches Then
Exit For
End If
End If
Next
If matches Then
FindElement = i
Else
FindElement = -1
End If
End Function
Applets de commande PowerShell IISAdministration
Import-Module IISAdministration
Reset-IISServerManager -Confirm:$false
Start-IISCommitDelay
$sitesCollection = Get-IISConfigSection -SectionPath "system.applicationHost/sites" | Get-IISConfigCollection
$siteElement = Get-IISConfigCollectionElement -ConfigCollection $sitesCollection -ConfigAttribute @{"name"="Contoso"}
$hstsElement = Get-IISConfigElement -ConfigElement $siteElement -ChildElementName "hsts"
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "enabled" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "max-age" -AttributeValue 31536000
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "includeSubDomains" -AttributeValue $true
Set-IISConfigAttributeValue -ConfigElement $hstsElement -AttributeName "redirectHttpToHttps" -AttributeValue $true
Stop-IISCommitDelay
Remove-Module IISAdministration