¿Qué es HSTS y cómo protege HTTPS de los hackers?
Es posible que se haya asegurado de que sus sitios web tengan SSL habilitado, y que el bonito candado de seguridad de su navegador sea verde. Sin embargo, es posible que se haya olvidado del pequeño hombre de seguridad de HTTP, HTTP Strict Transport Security (HSTS).
¿Qué es HSTS y cómo puede ayudar a mantener su sitio seguro??
¿Qué es HTTPS??
Hyper Text Transfer Protocol Secure (HTTPS) es una versión segura de un sitio web (HTTP). El cifrado se habilita mediante el protocolo Secure Sockets Layer (SSL) y se valida con un certificado SSL. Cuando se conecta a un sitio web HTTPS, la información transferida entre el sitio web y el usuario se cifra..
Este cifrado ayuda a protegerlo contra el robo de datos a través de Man-in-the-Middle-Attacks (MITM). La capa adicional de seguridad también ayuda a mejorar ligeramente la reputación de su sitio web. Desmitifique SEO: 5 Guías de optimización de motores de búsqueda que lo ayudan a comenzar a Desmitificar SEO: 5 Guías de optimización de motores de búsqueda que lo ayudan a comenzar. y error. Puede comenzar a aprender los fundamentos y evitar errores comunes de SEO fácilmente con la ayuda de muchas guías de SEO disponibles en la Web. Lee mas . De hecho, agregar un certificado SSL es tan fácil, que muchos hosts web lo agregarán a su sitio por defecto, ¡de forma gratuita! Dicho esto, HTTPS todavía tiene algunos defectos que HSTS puede ayudar a solucionar.
¿Qué es HSTS?
HSTS es un encabezado de respuesta que informa a un navegador que solo se puede acceder a los sitios web habilitados a través de HTTPS. Esto obliga a su navegador a solo poder acceder a la versión HTTPS del sitio web y a cualquier recurso en él..
Es posible que no se dé cuenta de que, aunque haya configurado su certificado SSL correctamente y haya habilitado HTTPS para su sitio web, la versión HTTP todavía está disponible. Esto es cierto incluso si ha configurado el reenvío con 301 Redirección permanente.
Aunque la política de HSTS ha estado vigente por un tiempo, solo fue lanzada formalmente por Google en julio de 2016. Es posible que sea por eso que aún no has oído hablar de ella..
Habilitar HSTS detendrá los ataques del protocolo SSL y el secuestro de cookies, ¿Qué es una cookie y qué tiene que ver con mi privacidad? [MakeUseOf Explica] ¿Qué es una cookie y qué tiene que ver con mi privacidad? [MakeUseOf Explica] La mayoría de las personas saben que hay cookies esparcidas por todo el Internet, listas y dispuestas a ser devoradas por quien las pueda encontrar primero. ¿Esperar lo? Eso no puede ser correcto. Sí, hay cookies ... Leer más dos vulnerabilidades adicionales en los sitios web habilitados para SSL. Y además de hacer que un sitio web sea más seguro, HSTS hará que los sitios se carguen más rápido al eliminar un paso en el procedimiento de carga.
Qué es SSL Stripping?
Aunque HTTPS es una gran mejora de HTTP, no es invulnerable a ser hackeado. La eliminación de SSL es un truco MITM muy común para los sitios web que utiliza la redirección para enviar a los usuarios desde un HTTP a la versión HTTPS de su sitio web.
El redireccionamiento 301 (permanente) y 302 (temporal) básicamente funciona así:
- Un usuario escribe google.com en la barra de direcciones de su navegador.
- El navegador inicialmente intenta cargar http://google.com como el predeterminado.
- “Google.com” se configura con un redireccionamiento permanente 301 a https://google.com.
- El navegador ve la redirección y carga. https://google.com en lugar.
Con la eliminación de SSL, el pirata informático puede usar el tiempo entre el paso 3 y el paso 4 para bloquear la solicitud de redirección y evitar que el navegador cargue la versión segura (HTTPS) del sitio web. A medida que accede a una versión sin cifrar del sitio web, cualquier dato que ingrese puede ser robado.
El pirata informático también puede redirigirlo a una copia del sitio web al que intenta acceder y capturar todos sus datos a medida que los ingresa, incluso si parece seguro..
Google ha implementado pasos en Chrome para detener algunos tipos de redirección. Sin embargo, habilitar HSTS debería ser algo que haga de forma predeterminada para todos sus sitios web a partir de ahora..
¿Cómo habilita HSTS detener la eliminación de SSL??
La activación de HSTS obliga al navegador a cargar la versión segura de un sitio web, e ignora cualquier redireccionamiento y cualquier otra llamada para abrir una conexión HTTP. Esto cierra la vulnerabilidad de redirección que existe con una redirección 301 y 302.
El HSTS tiene un lado negativo, y es que el navegador de un usuario debe ver el encabezado de HSTS al menos una vez antes de poder aprovecharlo para futuras visitas. Esto significa que tendrán que pasar por el proceso HTTP> HTTPS al menos una vez, dejándolos vulnerables la primera vez que visiten un sitio web habilitado para HSTS..
Para combatir esto, Chrome carga una lista de sitios web que tienen habilitado HSTS. Los usuarios pueden enviar sitios web habilitados para HSTS a la lista de precarga ellos mismos si cumplen con los criterios (simples) requeridos.
Los sitios web agregados a esta lista se codificarán en futuras versiones de las actualizaciones de Chrome. Se asegura de que todos los que visiten sus sitios web habilitados para HSTS en versiones actualizadas de Chrome se mantengan seguros.
Firefox, Opera, Safari e Internet Explorer tienen su propia lista de precarga de HSTS, pero se basan en la lista de Chrome en hstspreload.org.
Cómo habilitar HSTS en su sitio web
Para habilitar HSTS en su sitio web, primero necesita tener un certificado SSL válido. 7 Razones Su sitio necesita un certificado SSL 7 Razones por las que su sitio necesita un certificado SSL No importa si está desarrollando un blog modesto o un comercio electrónico completo. sitio: necesita un certificado SSL. Aquí hay algunas razones prácticas de por qué. Lee mas . Si habilita HSTS sin uno, su sitio no estará disponible para ningún visitante, así que asegúrese de que su sitio web y cualquier subdominio estén trabajando a través de HTTPS antes de continuar.
Habilitar HSTS es bastante fácil. Simplemente necesita agregar un encabezado al archivo .htaccess en su sitio. El encabezado que necesitas agregar es:
Seguridad de transporte estricta: edad máxima = 31536000; includeSubDomains
Esto agrega una cookie de acceso de una edad máxima de un año (¿qué es una cookie? Las cookies no son todas malas: 6 razones para dejarlas habilitadas en su navegador Las cookies no son todas malas: 6 razones para dejarlas habilitadas en su navegador ¿Son realmente las cookies?) ¿Todo eso es malo? ¿Están poniendo en riesgo su seguridad y privacidad, o existen buenas razones para habilitar las cookies? Lea más), que incluye su sitio web y cualquier subdominio. Una vez que un navegador haya accedido al sitio web, no podrá acceder a la versión HTTP no segura del sitio web durante un año. Asegúrese de que todos los subdominios en este dominio estén incluidos en el certificado SSL y que tengan habilitado HTTPS. Si olvida esto, no se podrá acceder a los subdominios después de guardar el archivo .htaccess.
Sitios web que faltan el includeSubDomains Esta opción puede exponer a los visitantes a filtraciones de privacidad al permitir que los subdominios manipulen las cookies. Con includeSubDomains habilitado, estos ataques relacionados con cookies no serán posibles.
Nota: Antes de agregar la edad máxima de un año, pruebe su sitio web completo con una edad máxima de cinco minutos utilizando primero: edad máxima = 300;
Google incluso recomienda que pruebe su sitio web y su rendimiento (tráfico) con un valor de una semana y un mes, antes de implementar una edad máxima de dos años..
Cinco minutos: Estricto de seguridad de transporte: edad máxima = 300; includeSubDomains Una semana: Strict-Transport-Security: max-age = 604800; includeSubDomains Un mes: Strict-Transport-Security: max-age = 2592000; includeSubDomains
Hacer la lista de precarga HSTS
A estas alturas ya debería estar familiarizado con HSTS y por qué es importante que su sitio lo use. Mantener a los visitantes de su sitio web seguros en línea debe ser un elemento clave de su plan de sitio..
Para ser elegible para la lista de precarga HSTS que utilizan Chrome y otros navegadores, su sitio web debe cumplir los siguientes requisitos:
- Servir un certificado SSL válido.
- Redirija de HTTP a HTTPS en el mismo host, si está escuchando en el puerto 80.
- Servir todos los subdominios sobre HTTPS. En particular, debe soportar HTTPS para el www.subdominio si existe un registro DNS para ese subdominio.
- Servir un encabezado HSTS en el dominio base para las solicitudes HTTPS:
- La edad máxima debe ser de al menos 31536000 segundos (1 año).
- La directiva includeSubDomains debe ser especificada.
- La directiva de precarga debe ser especificada.
- Si está sirviendo una redirección adicional desde su sitio HTTPS, esa redirección aún debe tener el encabezado HSTS (en lugar de la página a la que se redirige).
Si desea agregar su sitio web a la lista de precarga HSTS, asegúrese de agregar la información requerida precarga etiqueta. los “precarga” La opción significa que desea que su sitio web se agregue a la lista de precarga HSTS de Chrome. El encabezado de respuesta en .htaccess debería verse así:
Seguridad de transporte estricta: edad máxima = 63072000; includeDubains; precarga
Le recomendamos que agregue su sitio web a hstspreload.org. Los requisitos son muy fáciles de cumplir, y ayudarán a proteger a los visitantes de su sitio web y, potencialmente, mejorarán la clasificación de su motor de búsqueda ¿Cómo funcionan los motores de búsqueda? ¿Cómo funcionan los motores de búsqueda? Para muchas personas, Google es internet. Podría decirse que es el invento más importante desde la propia Internet. Y si bien los motores de búsqueda han cambiado mucho desde entonces, los principios subyacentes siguen siendo los mismos. Lee mas .
Obtenga más información sobre: HSTS, HTTPS, seguridad en línea, SSL.