1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
|
---
title: Strict-Transport-Security
slug: Web/HTTP/Headers/Strict-Transport-Security
translation_of: Web/HTTP/Headers/Strict-Transport-Security
---
<div>{{HTTPSidebar}}</div>
<p><strong>HTTP <code>Strict-Transport-Security</code></strong> (a menudo abreviado como {{Glossary("HSTS")}}) es una característica de seguridad que permite a un sitio web indicar a los navegadores que sólo se debe comunicar con HTTPS en lugar de usar HTTP.</p>
<table class="properties">
<tbody>
<tr>
<th scope="row">Tipo de Encabezado</th>
<td>{{Glossary("Encabezado de Respuesta")}}</td>
</tr>
<tr>
<th scope="row">{{Glossary("Nombre de Encabezado Prohibido")}}</th>
<td>no</td>
</tr>
</tbody>
</table>
<h2 id="Sintaxis">Sintaxis</h2>
<pre class="syntaxbox notranslate">Strict-Transport-Security: max-age=<expire-time>
Strict-Transport-Security: max-age=<expire-time>; includeSubDomains
Strict-Transport-Security: max-age=<expire-time>; preload
</pre>
<h2 id="Directivas">Directivas</h2>
<dl>
<dt><code>max-age=<expire-time></code></dt>
<dd>Es el tiempo, en segundos, que el navegador debe recordar que el sitio solo debe ser accsible usando HTTPS.</dd>
<dt><code>includeSubDomains</code> {{optional_inline}}</dt>
<dd>Si este parámetro opcional está especificado, la regla aplica para todos los subdominiones del sitio.</dd>
<dt><code>preload</code> {{optional_inline}}</dt>
<dd>Ver {{anch("Precargando Strict Transport Security")}} para mas detalles. No es parte de la especificación.</dd>
</dl>
<h2 id="Descripción">Descripción</h2>
<p>Si un sitio web acepta una conexión a través de HTTP y redirecciona a HTTPS, el usuario en este caso podría inicialmente hablar a la versión no encriptada del sitio antes de ser redireccionado, si por ejemplo el usuario tipea http://www.foo.com/ o incluso solo foo.com.</p>
<p>Esto habilita el potencial ataque man-in-the-middle, donde el redireccionamiento podría ser aprovechado para enviar al usuario a un sitio malicioso en lugar de la versión segura de la página original. </p>
<p>El encabezado HTTP Strict Transport Security permite a un sitio web informar al navegador que nunca cargue el sitio usando HTTP y que debe automáticamente convertir todos los intentos de acceso HTTP a HTTPS.</p>
<div class="note"><strong>Nota:</strong> El encabezado <code>Strict-Transport-Security</code> es <strong>ignorado</strong> por el navegador cuando el sitio es accedido usando HTTP; esto es porque un atacante podría interceptar las conexines HTTP e inyectar el encabezado o removerlo. Cuando el sitio es accedido a través de HTTPS con un certificado sin errores, el navegador sabe que el sitio es capaz de usar HTTPS y cumple con lo indicado en el encabezado <code>Strict-Transport-Security</code>.</div>
<h3 id="Un_escenario_de_ejemplo">Un escenario de ejemplo</h3>
<p>Tu ingresas a una red WiFi libre en un areopuerto y empiezas a nevegar por el internet visitando tu servicio de banca en linea para revisar tu estado de cuenta y pagar algunas cuentas. Desafortunadamente, el punto de acceso que estás usando es actualmente un computador portátil de un hacker. Ellos están interceptando todas tus solicitudes originales HTTP y redireccionando a un clone del sitio de tu banco en lugar del sitio real. Ahora tus datos privados están expuestos al hacker.</p>
<p>Strict Transport Security resuelve este problema; siempre que hayas ingresado al sitio de tu banco una vez usando HTTPS y el sitio del banco use Strict Transport Security. Tu navegador sabe que debe usar HTTPS, lo cual previene el hacker realizar este tipo de ataque. </p>
<h3 id="Como_el_navegador_lo_maneja">Como el navegador lo maneja</h3>
<p>La primera vez que accediste al sitio usando HTTPS y este retornó el encabezado <code>Strict-Transport-Security, </code>el navegador registra esta información, de tal manera que en futuros intentos para cargar el sitio usando HTTP va a usar en su lugar HTTPS automáticamente.<code> </code></p>
<p>Cuando el tiempo de expiración especificado por el encabezado Strict-Transport-Security haya pasado, el siguiente intento de cargar el sitio a través de HTTP se va a procesar de forma normal.</p>
<p>En cualquier momento que el encabezado Strict-Transport-Security sea entregado el navegador, este actualiza el tiempo de expiración para el sitio, así los sitios pueden refrescar su información y prevenir el tiempo de expiración. Para deshabilitarlo sería necesario configurar max-age a 0 sobre una conexión HTTPS, entonces automáticamente expira el encabezado Strict-Transport-Security permitiendo acceso vía HTTP.</p>
<h2 id="Precargando_Strict_Transport_Security">Precargando Strict Transport Security</h2>
<p>Google mantiene un <a href="https://hstspreload.appspot.com/">servicio de precarga HSTS</a>. Siguiendo la siguiente guía y enviando un dominio válido, los navegadores nunca se conectarán a utu dominio usando una conexión insegura. Mientras el servicio esté sobre Google, todos los navegadores tienen determinado intentar usar la lista precargada. </p>
<ul>
<li>Información de lista precargada HSTS en Chrome: <a href="https://www.chromium.org/hsts">https://www.chromium.org/hsts</a></li>
<li>Consulta de lista precargada de Firefox: <a href="https://dxr.mozilla.org/comm-central/source/mozilla/security/manager/ssl/nsSTSPreloadList.inc">nsSTSPreloadList.inc</a></li>
</ul>
<h2 id="Ejemplos">Ejemplos</h2>
<p>Todos los presentes y futuros subdominios usarán HTTPS durante 1 año. </p>
<p>This blocks access to pages or sub domains that can only be served over HTTP.</p>
<pre class="notranslate">Strict-Transport-Security: max-age=31536000; includeSubDomains</pre>
<h2 id="Especificaciones">Especificaciones</h2>
<table class="standard-table">
<tbody>
<tr>
<th scope="col">Especificación</th>
<th scope="col">Estado</th>
<th scope="col">Comentario</th>
</tr>
<tr>
<td>{{SpecName('HSTS')}}</td>
<td>{{Spec2('HSTS')}}</td>
<td>Definición inicial</td>
</tr>
</tbody>
</table>
<h2 id="Compatibilidad_de_navegadores">Compatibilidad de navegadores</h2>
<p class="hidden">The compatibility table in this page is generated from structured data. If you'd like to contribute to the data, please check out <a href="https://github.com/mdn/browser-compat-data">https://github.com/mdn/browser-compat-data</a> and send us a pull request.</p>
<p>{{Compat("http/headers/strict-transport-security")}}</p>
<h2 id="Ver_también">Ver también</h2>
<ul>
<li>Blog post: <a class="external" href="http://blog.sidstamm.com/2010/08/http-strict-transport-security-has.html">HTTP Strict Transport Security has landed!</a></li>
<li>Blog post: <a class="external" href="http://hacks.mozilla.org/2010/08/firefox-4-http-strict-transport-security-force-https/">HTTP Strict Transport Security (force HTTPS)</a></li>
<li>OWASP Article: <a href="https://www.owasp.org/index.php/HTTP_Strict_Transport_Security">HTTP Strict Transport Security</a></li>
<li>Wikipedia: <a href="http://en.wikipedia.org/wiki/HTTP_Strict_Transport_Security">HTTP Strict Transport Security</a></li>
</ul>
|
