Secure HTTP Strict Transport Security (HSTS) Implementation

Implementación segura de HTTP Strict Transport Security (HSTS)

Risk: secure

Descripción

HTTP Strict Transport Security (HSTS) es una política de seguridad web que impone conexiones seguras (HTTPS) entre los usuarios y el servidor web comunicando la política a través del encabezado de respuesta HTTP "Strict-Transport-Security". La aplicación ha implementado una política HSTS segura para protegerse contra los ataques de intermediario (man-in-the-middle), asegurando que todas las comunicaciones estén cifradas y mejorando la seguridad general.

Características principales de la implementación HSTS:

1. HTTPS obligatorio (Enforced HTTPS): La política HSTS convierte automáticamente cualquier enlace HTTP inseguro en enlaces HTTPS seguros, asegurando que todas las interacciones estén cifradas.

2. Prevención de accesos inseguros: Si no se puede establecer una conexión segura (por ejemplo, debido a un certificado TLS inválido), el agente de usuario bloqueará el acceso, evitando posibles riesgos de seguridad.

3. Duración configurable: La política HSTS especifica una duración lo suficientemente larga como para asegurar que los usuarios continúen accediendo a la aplicación de manera segura con el tiempo.

4. Soporte de subdominios: Si corresponde, la política HSTS incluye la directiva "includeSubDomains", extendiendo la seguridad a todos los subdominios.

5. Lista de precarga (Preload List): Los sitios web pueden enviar sus dominios a una lista de precarga integrada en los navegadores, asegurando que HSTS se aplique desde la primera visita, protegiendo contra ataques en la conexión inicial.

6. Configuración Max-Age: La directiva max-age permite a los sitios especificar cuánto tiempo deben los navegadores imponer HTTPS, con opciones para establecerlo por períodos largos, como años.

7. Sin contenido mixto (No Mixed Content): HSTS asegura que todos los recursos, incluyendo imágenes y scripts, se carguen a través de HTTPS, previniendo contenido inseguro en páginas seguras.

8. Manejo de errores: Cuando ocurre un error HSTS, como un certificado no válido, los navegadores bloquean el acceso sin permitir que los usuarios ignoren la advertencia, mejorando la seguridad.

9. Implementación de solo encabezado: HSTS se implementa mediante un encabezado HTTP simple, lo que facilita su configuración sin cambiar el contenido del sitio.

10. Reescritura automática a HTTPS: Algunos navegadores reescriben automáticamente las URL a HTTPS antes de realizar una solicitud, incluso si el usuario escribe HTTP en la barra de direcciones.

11. Bloqueo de puertos no asegurables: HSTS previene las conexiones a puertos inseguros, como el puerto 80, para el dominio especificado.

Esta implementación segura de HSTS garantiza que los usuarios puedan interactuar de manera segura con la aplicación, protegiendo los datos sensibles de la interceptación y el uso indebido.

Recomendación

La implementación es segura, no se aplican recomendaciones.

Enlaces

• Strict-Transport-Security
• OWASP: HTTP Strict Transport Security