16/12/2024

Exchange Server

Microsoft Exchange Server 2019 – Configurer HSTS pour les connexions HTTPS

I. Présentation

Dans ce tutoriel, nous allons configurer le serveur IIS d'un serveur Exchange Server 2019 de manière à activer le HSTS pour renforcer la sécurité des échanges HTTPS. Pour rappel, HSTS signifie HTTP Strict Transport Security et cette règle permet de forcer l'utilisation de connexions HTTPS entre un serveur Web et un client. Autrement dit, cela permet de ne pas tenir compte des éventuels HTTP (vers d'autres ressources). Le HSTS est intéressant pour se protéger contre certaines attaques, notamment basée sur la technique man-in-the-middle.

La procédure qui suit s'applique à Windows Server 2019 et supérieur. En ce qui me concerne, il s'agit d'un serveur sous Windows Server 2022. Pour Windows Server 2016 et les versions antérieures, consultez la fin de cet article.

II. Activer le HSTS dans IIS sous Windows Server 2019+

Sur le serveur Exchange, ouvrez la console IIS et cliquez sur "Default Web Site" à gauche.

Exchange Server 2019 - HSTS IIS

Puis, tout à droite, cliquez sur "HSTS" sous la section "Configure".

Exchange Server 2019 - IIS - Configurer HSTS

Une fenêtre va apparaître. Cochez la case "Enable" pour activer le HSTS sur ce site dans IIS, et indiquez les valeurs recommandées :

  • Max-Age : 31536000
  • Cocher "IncludeSubDomains" pour inclure les sous-domaines
  • Cocher "Preload"

Exchange Server 2019 - HSTS IIS - MAx-Age

Cliquez sur "OK", et voilà, c'est fait ! C'est aussi simple que cela, et il n'est pas nécessaire de redémarrer le serveur IIS.

III. Activer le HSTS sous Windows Server 2016

Sur un serveur IIS sous Windows Server 2016 (et versions antérieures), le menu HSTS n'est pas disponible. Nous devons procéder autrement.

Sur Windows Server 2016 et antérieurs, vous devez sélectionner "Default Web Site" dans la console IIS, puis à droite cliquer sur "HTTP Response Headers" dans l'objectif de créer une nouvelle règle en cliquant sur le bouton "Add" à droite. Remplissez le formulaire de cette façon :

  • Name : Strict-Transport-Security
  • Value : max-age=31536000; includeSubDomains; preload

Comme ceci :

Exchange Server 2019 - HSTS sur Windows Server 2016

Voilà, c'est fait ! Bien entendu, vous ne devez pas faire cette configuration si vous avez l'option HSTS configurée dans la partie précédente.

IV. L'impact du HSTS sur les connexions HTTPS

Si l'on accède au site SSL Labs pour faire un test des connexions SSL, on peut voir que l'on passe du score A à A+ suite à l'activation du HSTS. Voici le score avant l'activation du HSTS :

Certificat SSL Exchange sans HSTS

Puis, après avoir activé le HSTS, on voit que l'on score augmente ! On peut lire également la mention suivante : "HTTP Strict Transport Security (HSTS) with long duration deployed on this server", ce qui est vu comme un point positif.

Certificat SSL Exchange avec HSTS

V. Conclusion

En quelques minutes seulement, vous venez d'activer le HSTS sur votre serveur Microsoft Exchange ! Une manipulation facile et recommandée pour renforcer la sécurité des connexions HTTPS.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.