Risque de conflit entre config HSTS Nextcloud et accès HTTP dans les sous-domaines

Bonjour,

Pour info, j’avais suivi la recommandation de la page Ouvaton d’installation de Nextcloud, pour supprimer le commentaire suivant de l’interface d’administration Nextcloud :
L’en-tête HTTP « Strict-Transport-Security » n’est pas configurée à au moins « 15552000 » secondes. Pour renforcer la sécurité nous recommandons d’activer HSTS comme décrit dans nos conseils de sécurisation.

J’avais donc ajouté ces lignes au .htaccess de Nextcloud :
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=15768000; includeSubDomains"
</IfModule>

Notre Nextcloud est placé comme ceci https://domain.tld/nextcloud/.

La ligne ci-dessus dans .htaccess provoque le passage automatique de http://listes.domain.tld en https://listes.domain.tld, sous-domaine utilisé pour les listes Sympa, service inaccessible en HTTPS.
Les suggestions trouvées ici ou pour corriger le problème HSTS n’y faisaient rien, c’est en supprimant includeSubDomains dans l’instruction du .htaccess que j’ai pu retrouver l’accès à l’interface Sympa.

Cette modification ne fait pas réapparaître le commentaire de l’administration Nextcloud, j’espère qu’elle ne pose pas de problème par ailleurs. À prendre en compte dans la page Ouvaton pour éviter le problème à d’autres ?

Merci MatthieuPatout pour le coup de main !

1 Like