Microsoft Exchange Server 2019 – Configurer HSTS pour les connexions HTTPS
Sommaire
I. Présentation
Dans ce tutoriel, nous allons configurer le serveur IIS d'un serveur Exchange Server 2019 de manière à activer le HSTS pour renforcer la sécurité des échanges HTTPS. Pour rappel, HSTS signifie HTTP Strict Transport Security et cette règle permet de forcer l'utilisation de connexions HTTPS entre un serveur Web et un client. Autrement dit, cela permet de ne pas tenir compte des éventuels HTTP (vers d'autres ressources). Le HSTS est intéressant pour se protéger contre certaines attaques, notamment basée sur la technique man-in-the-middle.
La procédure qui suit s'applique à Windows Server 2019 et supérieur. En ce qui me concerne, il s'agit d'un serveur sous Windows Server 2022. Pour Windows Server 2016 et les versions antérieures, consultez la fin de cet article.
II. Activer le HSTS dans IIS sous Windows Server 2019+
Sur le serveur Exchange, ouvrez la console IIS et cliquez sur "Default Web Site" à gauche.
Puis, tout à droite, cliquez sur "HSTS" sous la section "Configure".
Une fenêtre va apparaître. Cochez la case "Enable" pour activer le HSTS sur ce site dans IIS, et indiquez les valeurs recommandées :
- Max-Age : 31536000
- Cocher "IncludeSubDomains" pour inclure les sous-domaines
- Cocher "Preload"
Cliquez sur "OK", et voilà, c'est fait ! C'est aussi simple que cela, et il n'est pas nécessaire de redémarrer le serveur IIS.
III. Activer le HSTS sous Windows Server 2016
Sur un serveur IIS sous Windows Server 2016 (et versions antérieures), le menu HSTS n'est pas disponible. Nous devons procéder autrement.
Sur Windows Server 2016 et antérieurs, vous devez sélectionner "Default Web Site" dans la console IIS, puis à droite cliquer sur "HTTP Response Headers" dans l'objectif de créer une nouvelle règle en cliquant sur le bouton "Add" à droite. Remplissez le formulaire de cette façon :
- Name : Strict-Transport-Security
- Value : max-age=31536000; includeSubDomains; preload
Comme ceci :
Voilà, c'est fait ! Bien entendu, vous ne devez pas faire cette configuration si vous avez l'option HSTS configurée dans la partie précédente.
IV. L'impact du HSTS sur les connexions HTTPS
Si l'on accède au site SSL Labs pour faire un test des connexions SSL, on peut voir que l'on passe du score A à A+ suite à l'activation du HSTS. Voici le score avant l'activation du HSTS :
Puis, après avoir activé le HSTS, on voit que l'on score augmente ! On peut lire également la mention suivante : "HTTP Strict Transport Security (HSTS) with long duration deployed on this server", ce qui est vu comme un point positif.
V. Conclusion
En quelques minutes seulement, vous venez d'activer le HSTS sur votre serveur Microsoft Exchange ! Une manipulation facile et recommandée pour renforcer la sécurité des connexions HTTPS.
