La seguridad es un factor muy importante para los usuarios, así como también para las organizaciones. Con el paso del tiempo han ido mejorando los protocolos relacionados con la red. Esto hace que, por ejemplo, navegar por un sitio HTTPS sea más seguro que hacerlo por otro HTTP. Es vital proteger los datos e información al navegar, así como a la hora de utilizar servidores o cualquier plataforma o servicio. En este artículo vamos a hablar de qué es HSTS y por qué mejora al HTTPS.
Todos conocemos HTTPS y la importancia que tiene hoy en día a la hora de navegar. Es muy importante si queremos evitar que se filtren datos. A la hora de entrar en un sitio web podemos iniciar sesión, enviar y recibir información, datos y, en definitiva, nuestra privacidad y seguridad depende de esa conexión. Si esto lo hacemos a través de HTTP un posible intruso podría acceder a la información.
Ahí es donde entra en juego HTTPS. El objetivo es cifrar esa información que enviamos. De esta forma viaja de forma segura por la red sin que posibles intrusos pudieran interceptar la información. Podemos decir que va de punto a punto sin que un tercero pudiera interceptarlo.
El problema es que aun así existe la posibilidad de que los atacantes engañen al navegador para que se comunique a través del protocolo HTTP en vez de HTTPS. Esto lógicamente podría suponer un problema de privacidad. La información que estamos enviando podría ser interceptada. Esto es lo que se conoce como un ataque de degradación de protocolo. Podemos decir que evita que ese sitio web que estamos visitando se conecte a través de HTTPS.
Esto ocurre porque el navegador intenta conectarse al sitio HTTP, pero si está disponible la versión HTTPS el servidor automáticamente se conectaría a esta segunda opción más segura. Un pirata informático podría modificar esto, podría basarse en esa primera conexión al sitio HTTP para evitar que termine conectándose en la versión segura. Un ciberdelincuente podría hacerse pasar por el servidor web de ese sitio e incluso enviar una copia exacta al usuario a través de la cual podría robar las credenciales y contraseñas.
Ahora bien, para solucionar este problema es donde entra en juego HSTS. Sus siglas vienen de HTTP Stric Transport Security. Sirve para evitar ataques de degradación de protocolo, como hemos visto que es una posibilidad. Este protocolo lo que hace es decirle al navegador que se conecte con el sitio web únicamente a través de HTTPS. Evitan así que no puedan conectarse de ninguna manera a través de HTTP.
Después de que se comunica ese mensaje, el navegador recuerda que no debe intentar comunicarse con el sitio web a través de HTTP e inicia futuras solicitudes al sitio desde HTTPS.
Además hay que tener en cuenta que todos los navegadores populares también vienen con sus propias listas HSTS precargadas a las que pueden consultar y determinar si un sitio web usa HSTS o no. Esto hace que los ataques de degradación de protocolo sean cada vez más difíciles.
En definitiva, HSTS es un protocolo interesante que debe implementar los webmasters en su servidor web para que sea más seguro en general. Es especialmente importante si un sitio requiere la transferencia de datos confidenciales del usuario. Es interesante para que un sitio web sea más seguro de cara a los usuarios.
Ya sabemos que la seguridad es un factor muy importante. Es a la hora de navegar donde más problemas podemos tener, donde nuestra información puede verse comprometida por alguno de los muchos ataques que existen en la red. Por tanto cifrar los sitios web, mejorar la seguridad en los servidores, es algo fundamental. De esta forma también nuestro sitio mejorará en reputación.
Lo primero que interesa saber, es qué aporta esta cabecera o este trozo de cabecera, a tu bitácora. La respuesta es: no mucho.
Es decir, no va a cambiar nada de tu bitácora, ni en contenido ni en apariencia, pero … si va a cambiar la consideración que «Google» tenga de tu sitio.
Los demás buscadores como «DuckDuckGo», «Bing» o «Yahoo», por citar algunos, puede que no lo digan pero, aplican políticas muy similares.
Al igual que hace un tiempo avisaron de que «penalizarían» los sitios que no usen HTTPS, ahora avisan de que penalizarán aquellos sitios que no usen HSTS.
Como en otros casos, hay varias maneras de conseguir un mismo fin, como es el caso de implementar HSTS en WorPress.
La forma más sencilla, es la instalación de un Plugin que realice la tarea, en este caso, hablamos de «HSTS Ready».
Este plugin no necesita ninguna configuración, nada más instalarlo funciona y, no hay que tocar nada más.
Como he dicho antes, la forma más fácil y rápida.
Si quieres comprobar si tu sitio está configurado con la precarga del HSTS, visita: https://hstspreload.org/
Allí debes ingresar tu dirección de dominio, y una vez te confirme que cuentas con HSTS activo procede allí mismo a enviarlo para su publicación y registro en la red.