¿Qué es el HSTS?

Averigua qué es HSTS para garantizar conexiones seguras.

HSTS (Seguridad estricta de transporte)

HSTS (HTTP Strict Transport Security) es una instrucción de seguridad que permite a los sitios web indicar a los navegadores que se comuniquen exclusivamente mediante HTTPS, garantizando así una conexión cifrada y segura. Esto ayuda a proteger a los usuarios de la interceptación de datos sensibles y de ciberataques, evitando el “secuestro de cookies” y el “MitM”.

Copy to Clipboard

Max-age: este valor es obligatorio y especifica el número de segundos durante los cuales se debe contactar con el servidor exclusivamente a través de HTTPS.

IncludeSubDomains: Este campo es opcional. Si se establece, especifica que la política HSTS debe aplicarse también a cualquier subdominio.

Utilizando la cadena, todas las conexiones al sitio (incluidos los subdominios) deben ser exclusivamente a través de HTTPS. En nuestro caso esta directiva para “31536000 segundos”

Ya no se permitirán las conexiones HTTP, de modo que si el navegador recibe una solicitud para cargar un recurso a través de HTTP, automáticamente tendrá que intentar proponer una solicitud a través de HTTPS.

En caso de que HTTPS no esté disponible, la conexión debe finalizar.

HSTS y precarga

El valor max-age de HSTS (ver código anterior) se actualiza cada vez que el navegador lee la cabecera y su valor máximo es de dos años; este escenario traduce que la protección de la navegación será permanente mientras no pasen más de dos años entre visitas.

Para aumentar la protección del sitio web, se puede utilizar una “precarga HSTS”. Chromium mantiene una base de datos con la lista de sitios que utilizan HSTS y esta lista se distribuirá con los navegadores. En este caso, el navegador comprobará primero esta lista precargada y luego no permitirá conexiones vía Http, ni siquiera durante la primera solicitud de conexión.

Copy to Clipboard

Firefox, Opera, Safari y Edge utilizan la Precarga HSTS. Para incluir también tu sitio web puedes utilizar el siguiente enlace: https://hstspreload.org/.

Para figurar en esta lista, deben cumplirse los siguientes requisitos:

  1. Certificado SSL/TLS válido .
  2. Redirige todo el tráfico a HTTPS.
  3. Servir HSTS en el dominio básico (antes“screamingfrog.club“).
  4. Gestiona todos los subdominios s epresentados en HTTPS.
  5. El plazo establecido no debe ser inferior a 1 año (31536000 segundos)
  6. Debe especificarse la directiva“includeSubdomains“.
  7. Debe especificarse la directiva de token“precarga“.

Ventajas del HSTS

> Dado que la reescritura de HTTP a HTTPS tiene lugar internamente en el cliente, hay varias ventajas clave sobre el uso de una simple reescritura HTTP – HTTPS en todo el sitio.

  • Reducción de la comunicación a través de protocolos inseguros.
  • Mejora del rendimiento, ya que se evita un giro cada vez que se encuentra un enlace HTTP.
  • Reducir la carga del servidor web. > Sin embargo, sigue siendo necesaria una redirección HTTP – HTTPS en todo el sitio. Puesto que la cabecera Strict-Transport-Security se ignora a menos que se envíe a través de HTTPS. Por tanto, si la primera visita a tu sitio no tiene lugar a través de HTTPS, esa redirección inicial a HTTPS sigue siendo necesaria para proporcionar el encabezado Estricto-Transporte-Seguridad, a menos que el sitio, como se ha mencionado anteriormente, se incluya con la “Precarga”.

Comprobar HSTS

Una vez añadida la directiva HSTS, es imprescindible comprobar su presencia.

Un primer método de supervisión utilizado por los desarrolladores es utilizar“Google Chrome Devtools” y comprobar la presencia de la instrucción en la pestaña “red”, pero este escenario tendría que repetirse para cada página individual para verificar que no hay incoherencias y que la directiva responde correctamente en cada página.

La segunda es la que incluye Screaming Frog, que me permite comprobar la presencia de HSTS sin esfuerzo en cuestión de segundos. Los resultados del escaneo están a tu disposición en la pestaña“Seguridad” del Seo Spider.

Analisi della direttiva HSTS con Screaming Frog

Pestaña relacionada: Pestaña Seguridad | Barra lateral

Ficha Seo Spider