Descargar APP gratis en APP Store 4l3133
Descargar APP gratis en Play Store
Ya sea en RunCloud, Plesk, Hestia, o el hosting que estas usando… En la configuración de tu...
Ya sea en RunCloud, Plesk, Hestia, o el hosting que estas usando… En la configuración de tu dominio te has encontrado más de alguna vez el famoso HSTS ¿qué es? ¿Para qué es? En este episodio hablamos sobre esta Seguridad de Transporte Estricta para HTTP.
La especificación HSTS se publico a finales del 2019
(Aunque los primero borradores vienen desde 2009)
Por eso te suena, pero no te suena
Es relativamente nueva… Pero ya tenemos casi un año usándola en nuestros servidores y WordPress
¡Vamos a ver!
Los cyber criminales pueden simular o suplantar una conexión segura
Y proceder de forma pasiva o activa a atacarnos
En algunos casos
Ya sea por descuido o ignorancia
No se desabilita el uso de HTTPNi se activa la redirección de HTTP a HTTPS
Y esto hace que la primera conexión no se establezca segura
Lo que permite a un atacante
Suplantar el certificado
Y robar el trafico con toda la información aunque vaya con HTTPS la web
Además si no se garantiza una conexión HTTPS
Cualquier cyber criminal puede utilizar el hackeo: Man on the middle o Ataque de intermediarioAl enviar el información sin cifrar
El atacante recibe esta información
Que envia al servidor
Y el servidor responde con el
El ve HTTPS
Pero todo el trafico esta siendo controlado por el atacante
Veamos el HSTS
Es una política de conexión web
En la que el servidor exige que todas las conexiones deben de ser cifradas
Con el objetivo de garantizar que todos los servicios web sean realmente seguros
Con esta política de conexión, el cliente coloca la URL de la web sin HTTPY si no se tiene activa la redirección HTTPS
O hay un atacante Man on the middle
Se activa automaticamente la conexión cifrada
Porque en la cabecera de nuestra web se agrega la cabecera
strict-transport-security:
Lo que obliga desde el primer momento a establecer una conexión segura y verificar un certificado autentico
De esta forma la conexión sí! sí! Va segura por HTTPS
El HSTS
Se debe implementar desde el servidor
Tu de control debe proveerte la opción al añadir un dominioInternamente en Apache se carga en el virtual host o en la cabecera principal
En Nginx se agrega la cabecera en la configuración general
El LiteSpeed se agrega como un servicio
¿Cómo puedo verificar que tengo activo HSTS en mi WordPress?
La forma mas sencilla es con la herramienta HTTP Header Checker de keycdnEn URL pones la dirección de tu web
Das clic en “Check”
Te va a mostrar el resultado
Y tenes que buscar la cabecera
strict-transport-security:
Si te aparece es porque lo tenes activo
También podés añadir diferentes extensiones en los navegadores… Pero lo veo cargar mas al navegador para un test muy puntual…
¿Lo malo?
Si la tenes activado el HSTS y el navegador no logra resolver correctamente: Dara error.
Esta política de conexión es soportada por todos los navegadores
Pero al ser una política relativamente reciente
Dispositivos, con versiones antiguas podrían generar error al intentar entrar en tu web
Así que si el 90% de tus clientes entran desde Internet Explorer de Windows XP ¡mal vamos!
Dentro de Cloudflare… También podemos activar el HSTS desde la red perimetralPero tenemos que tener claro que si desactivamos el HTTPS
Nuestra web no será accesible
Y antes de desactivar el HSTS, se debe desactivar el HTTPS
El tener en Cloudflare HSTS no quita que lo tengamos en nuestro servidor
Así como el SSL, el HSTS debe de activarse en el VPS
Aunque tengamos el de Cloudflare
Esta política de seguridad web ha sido creada para evitar ataques que puedan interceptar comunicaciones, cookies, etc… Pero no es lo único… Es una capa mas que le agregamos a todas las capas que tenemos tanto en nuestro servidor como en nuestro WordPress.
Si querés ponerte en o conmigo, podes escribirme en mi Formulario de o aquí en la web
¡Ponerme en o!