Même si l’accès HTTP à votre portail ArcGIS Enterpriseest désactivé, celui-ci demeure encore potentiellement vulnérable à une classe d’attaques de sécurité nommée stripping SSL. Ce type d’attaque exploite un manque de communication du site aux navigateurs web de vos utilisateurs, en indiquant à ces navigateurs de n’utiliser que les requêtes HTTPS. Si un attaquant exécute une copie factice du site web de votre portail sur le port 80 et intercepte une requête HTTP initiale du navigateur d’un utilisateur, il peut potentiellement recevoir des informations de sécurité compromettantes de la part de l’utilisateur.
Pour éliminer cette vulnérabilité aux attaques de stripping SSL, le protocole HSTS (HTTP Strict Transport Security) configure votre portail afin de renvoyer cette communication aux navigateurs web des utilisateurs. Le protocole HSTS peut être activé sur un portail ArcGIS Enterprise 11.0.
Activer le protocole HTTP Strict Transport Security sur votre portail
À partir de la version 10.6.1, la chaîne de configuration de sécurité du répertoire administrateur de ArcGIS Portal contient une propriété booléenne HSTSEnabled, définie sur false par défaut. Lorsque cette propriété est mise à jour vers true, le site web du portail indique aux navigateurs web d’envoyer des requêtes en utilisant uniquement un protocole HTTPS sécurisé. Ceci s’effectue à l’aide d’un en-tête, Strict-Transport-Security, qui indique au navigateur d’utiliser strictement des requêtes HTTPS pendant le laps de temps suivant défini par sa propriété max-age (spécifiée en secondes). Cette durée est définie sur un an : Strict-Transport-Security: max-age=31536000.
Attention :
Si vos utilisateurs accèdent à votre portail via votre ArcGIS Web Adaptor ou un serveur proxy inverse, appliquer le protocole HSTS sur votre site peut avoir des résultats indésirables. Conformément à l’en-tête envoyé par le protocole HSTS, les navigateurs web des navigateurs n’envoient que des requêtes HTTPS à ces périphériques ; si le serveur web hébergeant votre ArcGIS Web Adaptor ou le serveur proxy inverse héberge simultanément d’autres applications n’utilisant pas HTTPS, les utilisateurs ne seront pas en mesure d’accéder à ces autres applications. Assurez-vous que ces dépendances n’existent pas avant d’activer HSTS.
Pour activer HSTS sur le site web de votre portail, procédez de la manière suivante :
- Connectez-vous à votre répertoire administrateur de ArcGIS Portal à l’adresse suivante : https://portal.domain.com:7443/arcgis/portaladmin.
- Accédez à Security (Sécurité) > SSLCertificates > Update (Mettre à jour).
- Sur cette page, sélectionnez l’option HTTP Strict Transport Security (HSTS) enabled (HTTP Strict Transport Security (HSTS) activé) pour activer HSTS, puis confirmez en cliquant sur Update (Mettre à jour).
Remarque :
Par défaut, Portal for ArcGIS applique le chiffrement HTTPS pour toutes les communications. Si vous avez déjà changé ce paramètre de façon à autoriser à la fois la communication HTTP et HTTPS pour votre portail, le fait d’activer HSTS réapplique automatiquement la communication exclusive HTTPS.
- Une fois que le portail redémarre, il commence à retourner l’en-tête Strict-Transport-Security à tous les navigateurs web envoyant des requêtes au site.
HTTP Strict Transport Security peut également être activé sur un site ArcGIS Server.
Vous avez un commentaire à formuler concernant cette rubrique ?