Blogs / WordPress

Habilitar cabeceras HSTS en sitios web seguros

Es conveniente que los sitios web seguros, los que utilizan el protocolo HTTPS, tengan habilitadas las cabeceras HSTS. A continuación explicamos lo que hay que hacer para conseguirlo.

Habilitar cabeceras HSTS en sitios web seguros

El significado de HSTS es HTTP Strict Transport Security, o lo que es lo mismo, traducido al español, HTTP con Seguridad de Transporte Estricta. Se trata de un sistema o política de seguridad implementada con el fin de evitar ataques que tienen como fin interceptar comunicaciones. Al habilitar las cabeceras HSTS, el servidor web indica que los navegadores web solo pueden interactuar con él utilizando conexiones HTTP seguras, es decir, conexiones HTTPS.

Utilizando estas cabeceras el servidor se comunica con el navegador a través de un campo, como hemos indicado, denominado Strict Transport Security. El sistema HSTS indica un periodo de tiempo durante el cual el agente de usuario accederá al servidor solo de forma segura.

La importancia del protocolo HTTPS

Hoy es muy importante que los sitios web utilicen el protocolo seguro HTTPS. Ya hemos hablado de ello en La seguridad en Internet cada vez tiene más importancia. La instalación del mismo requiere de un certificado SSL, que la mayoría de los proveedores de alojamiento proporcionan gratuitamente, al utilizar Lets Encrypt. Existen varios artículos que hablan de todos los pasos que hay que hacer para pasar de HTTP a HTTPS. Uno bastante completo es Cómo pasar de http a https: Instala el certificado SSL paso a paso.

Cómo habilitar las cabeceras HSTS

Después de llevar a cabo el cambio es cuando se debe realizar la habilitación de las cabeceras HSTS. Si se dispone de un servidor Apache, lo mejor es añadir las líneas siguientes en el archivo .htaccess, dentro del espacio que aloja los archivos:

Se pueden llevar a cabo algunos cambios en los distinto apartados. Así se puede modificar el valor de max-age y el valor self, correspondiente a la cabecera de Content-Security-Policy, haciéndola más precisa.

Para saber si un sitio web tiene perfectamente habilitadas las cabeceras HSTS, se puede recurrir a SecurityHeaders e introducir la URL de la web.

Tras hacerlo se mostrará un recuadro en el que se especifica la valoración del mismo. Si alguna de las cabeceras no está habilitada o es errónea, se verá un enlace de color rojo a una página que explica en donde está el fallo y como se puede corregir.

Security Report Summary

Más abajo se verá una muestra de las cabeceras web. Algo similar a lo siguiente:

Raw headers

Conclusión

Cualquiera que posea un sitio web seguro debe comprobar si tiene o no habilitadas las cabeceras HSTS. Si no las tiene, debe tratar por todos los medios de habilitarlas. Los buscadores, con Google a la cabeza, lo tendrán en cuenta.

Leer también

Etiquetas

fabriciano

Amante de la informática y de Internet entre otras muchas pasiones. Leo, descifro, interpreto, combino y escribo. Lo hago para seguir viviendo y disfrutando. Trato de dominar el tiempo para que no me esclavice.

Deja un comentario