HSTS o también conocido como HTTP Strict Transport Security, es un mecanismo de seguridad que se configura en el servidor web y sirve para indicar que todas las conexiones que se realicen a dicho servidor web deben realizarse con el protocolo HTTPS. ¿Cómo podemos comprobar que HSTS está activado en una determinada web para ofrecernos una mayor seguridad?

¿Para qué sirve HSTS y cómo funciona?

Esta directiva de seguridad es fundamental para proteger a los usuarios de ataques de hombre en el medio, ya que el navegador web recordará que un determinado dominio utiliza HTTPS y lo usará de manera obligatoria. HSTS se activa en el servidor web con una determinada directiva para incorporar una cabecera, los navegadores web detectan y descargan dicha cabecera para que a partir de la primera visita a la página web, siempre nos conectemos a ella a través de HTTPS.

Este es uno de los principales problemas de HSTS, ¿qué ocurre si es la primera vez que visitamos una web con este mecanismo de seguridad activado y da la casualidad que estamos ante un ataque de hombre en el medio? Pues que podría retirar esa cabecera y hacer que el navegador web visite dicho dominio a través de HTTP. Actualmente existen una lista de sitios HSTS precargada en los navegadores web, Google Chrome, Mozilla Firefox y otros navegadores usan esta lista de sitios precargada para evitar justo este ataque la primera vez que nos conectamos a dicha web. De esta forma, si por ejemplo visitamos por primera vez Facebook.com, el navegador ya tiene precargado el mecanismo HSTS indicándole que siempre debe conectarse por HTTPS a la red social, incluso aunque estemos ante un ataque Man In The Middle, la conexión se realizará vía HTTPS o sino dará error.

hstspreload.org

Este proyecto hstspreload.org del equipo de desarrollo del Chromium nos permite verificar al estado de las listas precargadas que os hemos mencionado anteriormente, no solo nos permitirá verificar su estado y si actualmente nuestro navegador web lo soporta, sino también dar de alta nuestra web para que en las próximas versiones de los principales navegadores esté por defecto la cabecera HSTS y que los clientes siempre se conecten a través de HTTPS para proteger su seguridad.

Si por ejemplo verificamos el dominio redeszone.net podremos ver que no tenemos HSTS por el momento:

Pero si ponemos el dominio paypal.com podremos ver que efectivamente sí tiene HSTS y que está dado de alta en la lista precargada que os mencionamos anteriormente:

Si por ejemplo ponemos el propio Google.com podremos ver que no tiene actualmente HSTS, aunque en un futuro muy cercano lo incorporará según comentaron en el blog oficial.

Si hacemos un análisis a fondo de la seguridad HTTPS de google.com con la herramienta SSL Server Test de Qualys, podremos ver que efectivamente no dispone de este mecanismo de seguridad, algo que la web de PayPal.com sí incorpora y además viene precargado en los navegadores web, tal y como podéis ver a continuación.

Si has configurado el soporte HSTS para tu web, puedes darte de alta en la lista precargada, pero antes debes cumplir ciertos requisitos que estén perfectamente descritos en la web de hstspreload.org, como por ejemplo que tengamos un certificado digital válido, hagamos una redirección siempre de HTTP a HTTPS en el mismo host, servir todos los subdominios sobre HTTPS y servir la cabecera HSTS con los siguientes parámetros:

Strict-Transport-Security:</tt> <tt>max-age=63072000; includeSubDomains; preload