HSTS
L’en-tête HSTS ordonne au navigateur de n’utiliser que HTTPS pour le domaine, pendant une durée donnée. Il ferme la fenêtre d’interception du premier accès en HTTP.
Dans la pratique
Une ligne d’en-tête, un gain net : plus aucune requête en clair, même sur lien http:// ou saisie directe. La version préchargée — inscription sur la liste des navigateurs — supprime jusqu’à la première visite vulnérable. Précaution : ne l’activer qu’une fois certain de ne plus jamais servir de HTTP, sous-domaines compris si l’option les couvre.