Avec HSTS, Google tente d’empêcher que les internautes n’accèdent accidentellement aux URLs en HTTP en convertissant automatiquement les URLs HTTP non sécurisées en URLs HTTPS sécurisées, sur son moteur de recherche, ses pages d'aides et autres produits.
Car, selon Google, les utilisateurs pourraient naviguer à travers des URLs HTTP non sécurisées en tapant manuellement un protocole inférieur (genre "google.fr") ou une URL HTTP dans la barre d’adresse, ou en suivant des liens en HTTP provenant d’autres sites.
Il s’agit donc, pour Google, de forcer la navigation HTTPS avec Strict Transport Security pour tous les utilisateurs visitant une page sur son nom de domaine Google.com, quel que soit le protocole du lien cliqué ou de l’adresse saisie.
C'est quoi forcer HTTPS avec Strict Transport Security
Certains sites sont conçus pour fonctionner uniquement en mode HTTPS. Dans ce cas, le webmaster laisse parfois le site fonctionnel en HTTP avec une redirection vers HTTPS. Mais ce mécanisme n'est pas sûr, il peut être victime d'une attaque MITM.
Pour éviter cela, il est possible d'indiquer aux navigateurs qu'un site doit obligatoirement être contacté en HTTPS. Dans ce cas le navigateur transforme tout seul une URL http:// en https://.
C'est ce que permet la recommandation préliminaire HTTP Strict Transport Security (HSTS) qui est implémentée, entres autres, à partir de Chrome 4, Firefox 4 et Internet Explorer 11.
Ainsi, par exemple, http://www.exemple.com/une/page/ sera automatiquement remplacé par https://www.exemple.com/une/page/ avant d'accéder au serveur.
Si la sécurité de la connexion ne peut être assurée (par exemple, le certificat TLS est auto-signé), celui-ci affiche un message d'erreur et interdit à l'utilisateur l'accès au site à cause de cette erreur.
La politique HSTS aide à protéger les utilisateurs de sites web contre quelques attaques réseau passives (écoute clandestine) et actives. Une attaque du type man-in-the-middle ne peut pas intercepter de requête tant que le HSTS est actif pour ce site.
