Desde que Google anunciara días atrás que subiría el ranking de búsqueda a los sitios que utilicen HTTPS, múltiples han sido las webs que comenzaron a hacer pruebas con el protocolo de transferencia seguro.
En esta edición vamos a trabajar sobre HSTS, una política o mecanismo de seguridad estandarizado que anuncia a los navegadores cuándo una web (y todos sus enlaces) deben ser accedidos exclusivamente utilizando HTTPS.
HSTS envía un mensaje al navegador del usuario que podría ser interpretado como: “¡Hola! Toda nuestra comunicación debe ser encriptada, caso contrario tendrás que mostrar un mensaje de error.”
Navegadores soportados
- Google Chrome desde la versión 4.0.211.0.
- Google Chrome para Android desde la versión 18.
- Firefox y Firefox Mobile desde la versión 4.
- Opera desde la versión 12.
- Safari desde la versión 7.
- Android Browser desde la versión 4.4 de Android.
- Internet Explorer planea implementarlo en la versión 12 de su navegador.
Implementando HSTS
- En el caso de Apache, será necesario agregar al archivo .htaccess la siguiente línea
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
- nginx también soporta la utilización de HSTS, declarando la siguiente línea en el archivo nginx.conf:
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains";
- Para sitios alojados en IIS, el servicio web de Windows Server, debemos agregar el siguiente fragmento en el archivo web.config del sitio:
<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Strict-Transport-Security" value="max-age=31536000"/>
</customHeaders>
</httpProtocol>
</system.webServer>
En todos los casos, el parámetro max-age indica cuánto tiempo (en segundos) el navegador del usuario deberá comunicarse via HTTPS con el servidor de destino. En todos los ejemplos hemos utilizado como período 1 (un) año y el contador se reiniciará cada vez que el usuario vuelva a ingresar al sitio.
Por último, el parámetro includeSubDomains obliga al navegador del usuario a validar que la comunicación sea establecida de manera segura en todos los subdominios del sitio.
De acuerdo con las estadísticas de SSL Pulse, a Agosto de 2014 solo 1649 sitios de un total de 152.733 analizados utilizan HSTS.
¡Hasta la próxima!
Es buenísimo! Se súper entiende! Gracias
Muchas gracias por tu explicación!!
La verdad me gusto la explicación y como poder implementarlo en mi proyecto o futuros proyectos