HSTS
Cabecera de seguridad que obliga al navegador a conectarse siempre por HTTPS a un sitio, impidiendo ataques que rebajan la conexión a HTTP.
Qué es HSTS
HSTS es un mecanismo por el que un sitio web le dice al navegador: "a partir de ahora, conéctate a mí solo por HTTPS y rechaza cualquier intento de HTTP, aunque el usuario escriba http:// o haga clic en un enlace inseguro". Cierra la ventana de tiempo en que un atacante podría interceptar la primera petición.
Cómo funciona
El servidor envía la cabecera Strict-Transport-Security con un tiempo de validez. El navegador la recuerda y, durante ese periodo, convierte automáticamente toda petición a ese dominio en HTTPS antes de salir a la red. Si el certificado falla, no deja continuar (no hay opción "seguir de todos modos").
Cómo protegerte
Es algo que configuran los administradores web, pero te beneficia como usuario: en sitios con HSTS, ataques de "SSL stripping" en wifis públicas no funcionan. Existe además una "lista de precarga" (HSTS preload) integrada en los navegadores para los dominios más sensibles.
Datos curiosos
- Dominios como google.com o paypal.com están en la lista de precarga HSTS de Chrome y Firefox.
- Se estandarizó en 2012 (RFC 6797).
- Una mala configuración (tiempo muy largo sin tener HTTPS bien montado) puede dejar un sitio inaccesible para los visitantes.
Preguntas frecuentes
¿Tengo que hacer algo como usuario?
No. Es transparente. Simplemente tu navegador será más estricto con esos sitios.
¿Qué es la lista de precarga?
Una lista, embebida en los navegadores, de dominios que siempre deben usar HTTPS, incluso en la primerísima visita.
¿HSTS sustituye al certificado?
No. HSTS obliga a usar HTTPS; el certificado es lo que hace posible ese HTTPS. Van de la mano.