Cómo comprender HSTS (HTTP Strict Transport Security)

Cloudflare admite HTTP Strict Transport Security (HSTS) para ayudar a asegurar tu servidor web HTTPS contra ataques de degradación de intermediario, tales como ataques de eliminación de SSL.


Información general

HSTS es una tecnología de seguridad web que asegura a los servidores web HTTPS contra los ataques de degradación. Los ataques de degradación (también conocidos como ataques de eliminación) son una forma de ataque de intermediario, en el cual el atacante redirige los navegadores web desde un servidor web con configuración HTTPS correcta hacia un servidor malicioso.

HSTS consiste en un encabezado HTTP con varios parámetros que dirigen navegadores web compatibles a:

  • convertir todos los enlaces HTTP en HTTPS y
  • actualizar todas las advertencias SSL de navegador en errores cuya vista en el sitio web no pueda omitirse.

Consulta los requisitos previos antes de habilitar HSTS.


Requisitos previos

La habilitación de HTTP Strict Transport Security (HSTS) mejora la seguridad de tu sitio web. Sin embargo, hay consideraciones importantes para tener en cuenta:

  • Habilita HTTPS antes de HSTS o los navegadores no podrán aceptar tu configuración HSTS.
  • Una vez habilitado HSTS, HTTPS debe permanecer habilitado o los visitantes no podrán acceder a tu sitio.

Habilita HSTS

Si se deshabilitan SSL o HTTPS cuando HSTS está habilitado, los visitantes no podrán acceder a tu sitio en la duración especificada por el encabezado Max-Age. Por ejemplo, si el encabezado Max-Age está establecido en seis meses y deshabilitas HTTPS dos meses después de habilitar HSTS, los navegadores que visitaron tu sitio mientras HSTS estaba habilitado no podrán visitarlo durante cuatro meses, a menos que vuelvas a habilitar HTTPS.

Para habilitar HSTS:

1. Inicia sesión en el panel de control de Cloudflare.

2. Haz clic en la cuenta de Cloudflare adecuada para el dominio que requiera HSTS.

3. Asegúrate de seleccionar el dominio pertinente.

4. Haz clic en la aplicación SSL/TLS de Cloudflare.

5. Haz clic en Habilitar HSTS debajo de la sección HTTP Strict Transport Security (HSTS).

6. Aparece una ventana de confirmación. Revisa el contenido de advertencia.

7. Para continuar, haz clic en Entiendo.

8. Haz clic en Siguiente.

9. Ajusta la configuración HSTS adecuada para tu dominio.  Finalmente, configura el encabezado Max- Age para habilitar HSTS:

 

Nombre de la configuración

Descripción

Opciones

Habilita HSTS (Strict-Transport-Security)

Sirve encabezados HSTS a navegadores para todas las solicitudes HTTPS.

Activado/Desactivado

Encabezado Max-Age (max-age)

Especifica la duración en que un navegador impone la política HSTS y requiere que HTTPS esté configurado de la manera adecuada para tu sitio web.

Deshabilitar

o un rango de uno a doce meses

Aplica la política HSTS a los subdominios (includeSubDomains)

Aplica la política HSTS de un dominio primario (ejemplo.com) a subdominios (www.desarrollo.ejemplo.com o api.ejemplo.com).

No se puede acceder a tus dominios si no son compatibles con HTTPS.

Activado/Desactivado

Precarga

Autoriza a los navegadores a precargar automáticamente la configuración HSTS. Evita que un atacante degrade una primera solicitud de HTTPS a HTTP. Sin la precarga, HSTS solo se establece tras una solicitud HTTPS inicial exitosa.

La precarga puede volver completamente inaccesible un sitio web sin compatibilidad con HTTPS.

Activado/Desactivado

Encabezado nosniff

Envía X-Content-Type-Options: encabezado nosniff para evitar que los navegadores Internet Explorer y Chrome detecten automáticamente un tipo de contenido distinto al especificado explícitamente por el encabezado Content-Type.

Activado/Desactivado

10. Haga clic en Guardar.

Una vez configurada la precarga HSTS, presenta solicitudes para la incorporación en la lista de precarga de cada navegador. Chrome, Firefox/Mozilla y Safari usan la lista de precarga de Chrome. Un encabezado Max-Age mínimo de doce meses se requiere para la inclusión en las listas de precarga de HSTS.
Las acciones que se mencionan a continuación deshabilitan HTTPS y deben evitarse mientras HSTS esté habilitado.

Si tu servidor web de origen no cuenta con un certificado SSL válido proporcionado por una autoridad de certificación, evita las siguientes acciones:

Otras acciones que han de evitarse son las siguientes:

  • redireccionar HTTPS a HTTP
  • cargar un certificado SSL personalizado mal configurado que contenga lo siguiente:
    • certificados SSL no válidos
    • certificados vencidos
    • nombres de host que no coincidan

Deshabilita HSTS

Si eliminas HTTPS antes de deshabilitar HSTS o antes de esperar la duración del encabezado Max-Age original especificada en tu configuración HSTS de Cloudflare, tu sitio web queda inaccesible para los visitantes en la duración del encabezado Max-Age o hasta que habilites HTTPS.

Sigue el siguiente procedimiento para deshabilitar HTTPS en tu dominio:

1. Inicia sesión en el panel de control de Cloudflare.

2. Haz clic en la cuenta de Cloudflare adecuada para el dominio que ya no requiera HSTS.

3. Asegúrate de seleccionar el dominio pertinente.

4. Haz clic en la aplicación SSL/TLS de Cloudflare.

5. Haz clic en Habilitar HSTS debajo de la sección HTTP Strict Transport Security (HSTS).

6. Aparece una ventana de confirmación. Revisa el contenido de advertencia.

7. Haz clic en Entiendo.

8. Haz clic en Siguiente.

10. Establece el encabezado Max-Age en 0 (Deshabilitar)


Recursos relacionados

Implementa políticas web con HSTS

 

 

¿No has encontrado una respuesta satisfactoria?

Nuestra herramienta de búsqueda puede contestar el 95% de las preguntas más comunes y es la mejor manera de conseguir una respuesta rápida.

Tecnología de Zendesk