HTTP Strict Transport Security (HSTS) w1n5x

Ya sea en RunCloud, Plesk, Hestia, o el hosting que estas usando… En la configuración de tu dominio te has encontrado más de alguna vez el famoso HSTS ¿qué es? ¿Para qué es? En este episodio hablamos sobre esta Seguridad de Transporte Estricta para HTTP. La especificación HSTS se publico a finales del 2019 (Aunque los primero borradores vienen desde 2009) Por eso te suena, pero no te suena Es relativamente nueva… Pero ya tenemos casi un año usándola en nuestros servidores y WordPress ¡Vamos a ver! Los cyber criminales pueden simular o suplantar una conexión segura Y proceder de forma pasiva o activa a atacarnos En algunos casos Ya sea por descuido o ignorancia No se desabilita el uso de HTTPNi se activa la redirección de HTTP a HTTPS Y esto hace que la primera conexión no se establezca segura Lo que permite a un atacante Suplantar el certificado Y robar el trafico con toda la información aunque vaya con HTTPS la web Además si no se garantiza una conexión HTTPS Cualquier cyber criminal puede utilizar el hackeo: Man on the middle o Ataque de intermediarioAl enviar el información sin cifrar El atacante recibe esta información Que envia al servidor Y el servidor responde con el El ve HTTPS Pero todo el trafico esta siendo controlado por el atacante Veamos el HSTS Es una política de conexión web En la que el servidor exige que todas las conexiones deben de ser cifradas Con el objetivo de garantizar que todos los servicios web sean realmente seguros Con esta política de conexión, el cliente coloca la URL de la web sin HTTPY si no se tiene activa la redirección HTTPS O hay un atacante Man on the middle Se activa automaticamente la conexión cifrada Porque en la cabecera de nuestra web se agrega la cabecera strict-transport-security: Lo que obliga desde el primer momento a establecer una conexión segura y verificar un certificado autentico De esta forma la conexión sí! sí! Va segura por HTTPS El HSTS Se debe implementar desde el servidor Tu de control debe proveerte la opción al añadir un dominioInternamente en Apache se carga en el virtual host o en la cabecera principal En Nginx se agrega la cabecera en la configuración general El LiteSpeed se agrega como un servicio ¿Cómo puedo verificar que tengo activo HSTS en mi WordPress? La forma mas sencilla es con la herramienta HTTP Header Checker de keycdnEn URL pones la dirección de tu web Das clic en “Check” Te va a mostrar el resultado Y tenes que buscar la cabecera strict-transport-security: Si te aparece es porque lo tenes activo También podés añadir diferentes extensiones en los navegadores… Pero lo veo cargar mas al navegador para un test muy puntual… ¿Lo malo? Si la tenes activado el HSTS y el navegador no logra resolver correctamente: Dara error. Esta política de conexión es soportada por todos los navegadores Pero al ser una política relativamente reciente Dispositivos, con versiones antiguas podrían generar error al intentar entrar en tu web Así que si el 90% de tus clientes entran desde Internet Explorer de Windows XP ¡mal vamos! Dentro de Cloudflare… También podemos activar el HSTS desde la red perimetralPero tenemos que tener claro que si desactivamos el HTTPS Nuestra web no será accesible Y antes de desactivar el HSTS, se debe desactivar el HTTPS El tener en Cloudflare HSTS no quita que lo tengamos en nuestro servidor Así como el SSL, el HSTS debe de activarse en el VPS Aunque tengamos el de Cloudflare Esta política de seguridad web ha sido creada para evitar ataques que puedan interceptar comunicaciones, cookies, etc… Pero no es lo único… Es una capa mas que le agregamos a todas las capas que tenemos tanto en nuestro servidor como en nuestro WordPress. Si querés ponerte en o conmigo, podes escribirme en mi Formulario de o aquí en la web ¡Ponerme en o! 3l4z8