Qué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio

Photo by Markus Spiske on Unsplash

Desde que Google anunciara días atrás que subiría el ranking de búsqueda a los sitios que utilicen HTTPS, múltiples han sido las webs que comenzaron a hacer pruebas con el protocolo de transferencia seguro.

En esta edición vamos a trabajar sobre HSTS, una política o mecanismo de seguridad estandarizado que anuncia a los navegadores cuándo una web (y todos sus enlaces) deben ser accedidos exclusivamente utilizando HTTPS.

HSTS significa, por sus siglas en inglés, HTTP Strict Transport Security y sus detalles están especificados en el RFC 6797. Su principal objetivo es impedir que un atacante convierta una conexión HTTPS en HTTP. El mecanismo instruye al UA (user agent o navegador del usuario) a finalizar la conexión con el servidor de destino si ocurre algún error mientras intenta establecer una comunicación segura (SSL/TLS), incluyendo certificados revocados. Además, todos los enlaces de la página se visualizarán como HTTPS inluso si no fueron creados de esa manera.

 

HSTS envía un mensaje al navegador del usuario que podría ser interpretado como: “¡Hola! Toda nuestra comunicación debe ser encriptada, caso contrario tendrás que mostrar un mensaje de error.”

Read moreQué es HSTS y cómo implementarlo para incrementar la seguridad de mi sitio