la norme HSTS de Google sur ses extensions comme .APP et .DEV

Noms de domaine : Google rend le web plus sécurisé avec la norme HSTS

La sécurité est le maître mot chez Google : campagnes d’information pour imposer la norme HTTPS depuis 2 ans, le géant américain souhaite également appliquer cette notion de sécurité sur les extensions dont il est registre depuis 2015. Dans l’optique d’une connexion sécurisée en complément du HTTPS, la prochaine étape pour Google est d’imposer la norme HSTS en le préinstallant sur ses 45 extensions.

Qu’est-ce que le HSTS ?

Le protocole HTTP Strict Transport Security (HSTS) permet aux sites de devenir accessibles uniquement via le HTTP sécurisé HTTPS. Il a été conçu pour empêcher les hackers, les pirates et les utilisateurs malintentionnés de forcer les connexions utilisateurs des HTTP et de tirer profit des erreurs qui peuvent y survenir.

Le protocole HSTS modifie toute requête non sécurisée d’un navigateur en requête sécurisée par HTTPS. Toutes les données échangées entre le serveur web et l’utilisateur sont continuellement protégées par cryptage. Afin de mettre en place cette sécurité, vous aurez besoin :

  • d’un certificat SSL valide pour votre nom de domaine
  • d’un en-tête HSTS (c’est-à-dire un fichier installé sur votre domaine qui interpelle le navigateur dès la première connexion. Il indique à ce dernier des instructions à suivre lorsqu’il interagit avec le domaine en question pour une connexion sécurisée).

Les avantages du HSTS

Le fait que Google préinstalle le mécanisme HSTS sur ces extensions – et pas seulement sur un nom de domaine ou un sous-domaine – est primordial. Comme l’explique Google, « l’ajout d’un TLD complet à la liste de pré-chargement HSTS est plus efficace, car il sécurise tous les domaines sous ce TLD sans avoir à inclure tous les domaines concernés individuellement ».

L’autre avantage de la pré-installation du HSTS en amont est le gain de temps pour le propriétaire du nom de domaine. En effet,  il peut se passer des mois entre la mise en place de l’en-tête sur un nom de domaine et la mise à jour au niveau des navigateurs : en configurant directement depuis un TLD, le HSTS est accessible instantanément pour les nouveaux sites.

Les extensions Google concernées par la norme HSTS

Dans les prochains mois, Google prétend étendre la pré-installation du HSTS aux 45 extensions dont il est gestionnaire.

Pour les extensions Google en cours de lancement, tous les domaines sous ces extensions seront d’office en HSTS, que ce soit en dépôt défensif ou pas. En revanche, si vous avez l’intention d’utiliser votre nom de domaine de manière active (site internet principalement), vous devrez obligatoirement acquérir un certificat SSL au moment du dépôt. A défaut, vous n’aurez aucun aucune visibilité sur aucun navigateur.


SafeBrands est à votre disposition pour tout renseignement complémentaire ou pour commander vos noms de domaine. N’hésitez pas à contacter nos chargés de clientèle en utilisant notre formulaire en ligne, par e-mail domaines@safebrands.com ou téléphone au +33 (0)1 80 82 82 60.