Seguridad de red
HTTP Strict Transport Security (HSTS)
También conocido como: Strict-Transport-Security, Cabecera HSTS
Definición
Política de seguridad web enviada en una cabecera HTTP que indica al navegador acceder a un dominio solo por HTTPS durante el periodo declarado.
HSTS, definido en el RFC 6797, se señaliza con la cabecera de respuesta Strict-Transport-Security. Cuando un navegador compatible la recibe, recuerda la política y eleva automáticamente cualquier petición futura a ese host (y, opcionalmente, a sus subdominios) a HTTPS, negándose a conectar si fallan el handshake TLS o la validación del certificado. Esto neutraliza los ataques de SSL stripping y la inyección de cookies en las peticiones iniciales. Las buenas prácticas combinan un max-age elevado, la directiva includeSubDomains, la directiva preload y el envío del dominio a la lista HSTS preload del navegador para proteger también la primera visita.
Ejemplos
- Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
- Un banco que envía su dominio principal a la lista HSTS preload de Chromium.
Términos relacionados
HTTPS
HTTPS — definition coming soon.
TLS (Transport Layer Security)
TLS (Transport Layer Security) — definition coming soon.
SSL Stripping
Ataque de hombre en el medio que degrada silenciosamente la conexión HTTPS de la víctima a HTTP en claro para poder leer y modificar el tráfico.
Secure Cookie Flag
Secure Cookie Flag — definition coming soon.
HTTP Security Headers
HTTP Security Headers — definition coming soon.
Autoridad de certificación (CA)
Entidad de confianza que emite y firma certificados digitales, vinculando claves públicas a identidades verificadas como dominios u organizaciones.