Especialista en servidores y Hosting VPS
HTTP Strict Transport Security (HSTS)
/
RSS Feed
Ya sea en RunCloud, Plesk, Hestia, o el hosting que estas usando… En la configuración de tu dominio te has encontrado más de alguna vez el famoso HSTS ¿qué es? ¿Para qué es? En este episodio hablamos sobre esta Seguridad de Transporte Estricta para HTTP.
- La especificación HSTS se publico a finales del 2019
- (Aunque los primero borradores vienen desde 2009)
- Por eso te suena, pero no te suena
- Es relativamente nueva… Pero ya tenemos casi un año usándola en nuestros servidores y WordPress
- ¡Vamos a ver!
- Los cyber criminales pueden simular o suplantar una conexión segura
- Y proceder de forma pasiva o activa a atacarnos
- En algunos casos
- Ya sea por descuido o ignorancia
- No se desabilita el uso de HTTP
- Ni se activa la redirección de HTTP a HTTPS
- Y esto hace que la primera conexión no se establezca segura
- Lo que permite a un atacante
- Suplantar el certificado
- Y robar el trafico con toda la información aunque vaya con HTTPS la web
- Además si no se garantiza una conexión HTTPS
- Cualquier cyber criminal puede utilizar el hackeo: Man on the middle o Ataque de intermediario
- Al enviar el usuario información sin cifrar
- El atacante recibe esta información
- Que envia al servidor
- Y el servidor responde con el acceso
- El usuario ve HTTPS
- Pero todo el trafico esta siendo controlado por el atacante
- Veamos el HSTS
- Es una política de conexión web
- En la que el servidor exige que todas las conexiones deben de ser cifradas
- Con el objetivo de garantizar que todos los servicios web sean realmente seguros
- Con esta política de conexión, el cliente coloca la URL de la web sin HTTP
- Y si no se tiene activa la redirección HTTPS
- O hay un atacante Man on the middle
- Se activa automaticamente la conexión cifrada
- Porque en la cabecera de nuestra web se agrega la cabecera
- strict-transport-security:
- Lo que obliga desde el primer momento a establecer una conexión segura y verificar un certificado autentico
- De esta forma la conexión sí! sí! Va segura por HTTPS
- El HSTS
- Se debe implementar desde el servidor
- Tu panel de control debe proveerte la opción al añadir un dominio
- Internamente en Apache se carga en el virtual host o en la cabecera principal
- En Nginx se agrega la cabecera en la configuración general
- El LiteSpeed se agrega como un servicio
- ¿Cómo puedo verificar que tengo activo HSTS en mi WordPress?
- La forma mas sencilla es con la herramienta HTTP Header Checker de keycdn
- En URL pones la dirección de tu web
- Das clic en “Check”
- Te va a mostrar el resultado
- Y tenes que buscar la cabecera
- strict-transport-security:
- Si te aparece es porque lo tenes activo
- También podés añadir diferentes extensiones en los navegadores… Pero lo veo cargar mas al navegador para un test muy puntual…
- ¿Lo malo?
- Si la tenes activado el HSTS y el navegador no logra resolver correctamente: Dara error.
- Esta política de conexión es soportada por todos los navegadores
- Pero al ser una política relativamente reciente
- Dispositivos, con versiones antiguas podrían generar error al intentar entrar en tu web
- Así que si el 90% de tus clientes entran desde Internet Explorer de Windows XP ¡mal vamos!
- Dentro de Cloudflare… También podemos activar el HSTS desde la red perimetral
- Pero tenemos que tener claro que si desactivamos el HTTPS
- Nuestra web no será accesible
- Y antes de desactivar el HSTS, se debe desactivar el HTTPS
- El tener en Cloudflare HSTS no quita que lo tengamos en nuestro servidor
- Así como el SSL, el HSTS debe de activarse en el VPS
- Aunque tengamos el de Cloudflare
Esta política de seguridad web ha sido creada para evitar ataques que puedan interceptar comunicaciones, cookies, etc… Pero no es lo único… Es una capa mas que le agregamos a todas las capas que tenemos tanto en nuestro servidor como en nuestro WordPress.