HTTP Strict Transport Security (HSTS)

HTTP Strict Transport Security (HSTS) es un mecanismo para establecer que todo el tráfico entre el navegador web y un dominio dado debe realizarse sobre HTTPS.

HSTS convierte automáticamente todas las peticiones HTTP a peticiones HTTPS, incluyendo aquellas peticiones de aplicaciones web que se comunican a través de HTTPS, pero inadvertidamente contienen enlaces a HTTP (Ej. enlaces de terceros).

Para establecer el mecanismo se incluye el campo Strict-Transport-Security en la cabecera de la respuesta  HTTP de la aplicación Web, conteniendo los siguientes parámetos:

  • max-age: De uso obligatorio, indica el máximo tiempo en segundos durante el cual el navegador tiene que convertir automáticamente todas las peticiones HTTP a HTTPS. Se recomienda usar valores similares a 31536000 (1 año) o superiores.
  • includeSubDomains: Es opcional y establece que todos los subdominios de la aplicación web tienen que usar HTTPS.
  • preload: Se indica que el propietario tiene su dominio en la HSTS preload list gestionada por Chrome y utilizada por Firefox y Safari.

Algunos ejemplos:

  • Strict-Transport-Security: max-age=31536000
  • Strict-Transport-Security: max-age=31536000; includeSubDomains
  • Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

HSTS disminuye la posibilidad de ser víctimas de ataques MitM (Man-in-the-Middle) del tipo SSLStrip, secuestro de sesiones y robos de cookies, sin embargo no protege ante ataques más sofisticados como CRIME y BREACH.

Para comprobar si está presente HSTS en nuestras conexiones podemos aplicar una prueba como la OTG-CONFIG-007

Espero que te haya gustado mi post y dejame saber si te parece importante este tema y si quieres que profundice en alguno de los aspectos tratados.

Anuncios

5 comentarios en “HTTP Strict Transport Security (HSTS)

  1. Pingback: Prueba de HTTP Strict Transport Security (OTG-CONFIG-007) | Behíque Digital

  2. Pingback: Testing for Browser Cache Weakness (OTG-AUTHN-006) | Behique Digital

  3. Pingback: Si administras un CMS debe interesarte la alerta elaborada por la Public Safety Canada y el U.S. Department of Homeland Security | Behique Digital

  4. Pingback: ¿El suficiente que el método POST sea más seguro que el método GET? Un simple experimento demuestra que no | Behique Digital

  5. Pingback: Apuntes sobre el Referer spoofing, el Referer spam y otros problemas de seguridad relacionados | Behique Digital

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s