cdoublev
Salut,
Quelqu'un a t-il déjà rencontré le "problème" d'avoir une URL "http://dev.domaine.tld" automatiquement redirigée (307) par les navigateurs vers "https://dev.domaine.tld", lorsque "domaine.tld" est enregistré dans la liste de domaines préchargés en HSTS ? J'ai mis "problème" entre guillemets car c'est le principe même du HSTS et du préchargement HSTS d'obliger les connexions d'un domaine à se faire en https. Le problème se trouve en fait lorsqu'on utilise un sous-domaine en local (intercepté par le fichier hosts), comme "dev", pour le développement et sans certificat, et la valeur "IncludeSubdomains" de l'entête HSTS, recquise pour bénéficier du préchargement HSTS.
Jusqu'à il y a peu et même avec un domaine préchargé en HSTS, le navigateur n'effectuait pas de redirection tant que l'entête HSTS n'avait pas été envoyée une première fois. Donc si on utilisait "http://dev.domaine.tld" pour développer, et ensuite le mode Incognito de Chrome (par exemple) pour contrôler en parallèle la mise en staging/production, en https, il n'y avait pas de problème. Pas forcément très pratique, mais ça marchait. Et si un jour on oubliait d'utiliser le mode Incognito, il suffisait de vider le cache de son navigateur. Ce n'est plus le cas aujourd'hui à priori.
Edit/solution du 15/03/17:
J'ai choisi de créer un certificat Let's Encrypt que je télécharge ensuite sur mon poste de travail. Ca oblige à avoir un hôte virtuel répondant au requête depuis Internet (Let's Encrypt doit communiquer par http/https/dns pour valider le certificat), mais c'est gratuit et j'ai trouvé ça plus simple qu'un certificat auto-signé.
Une autre solution aurait été d'utiliser "domaine.localhost" (cf. edit du 24/09/17). Une RFC indique apparemment ce TLD à utiliser pour ce cas de figure (consultation en local), parmi ceux qui ne seront jamais mis à la vente. Il y a notamment "test", pour un usage nuancé. A noter que "dev" appartient à Google, qui a annoncé qu'il ne sera jamais à la vente.
Edit du 24/09/17:
J'avais oublié avoir été confronté au problème du domaine locahost, ou d'un domaine se terminant par .locahost, redirigé automatiquement vers 127.0.0.1 sans consulter le fichier hosts du système d'exploitation. Ce n'est pas grave si l'on développe directement sur sa machine, mais c'est totalement bloquant si l'on utilise une machine virtuelle comme avec Vagrant.
Google s'apprête également à rediriger automatiquement tous les domaines utilisant le TLD .dev (ex.: local.dev) en HTTPS. Donc le développement en utilisant local.dev va devenir un peu bancal, si ce n'est totalement bloquant. Pour ceux qui pratiquaient l'usage de http://www.domaine.dev, l'idée n'était pas idéale de toute manière, car non appropriée pour un projet mutlisites géré de façon centralisée et avec une variation sur le TLD, comme par exemple une variation selon le pays cible.