HTTP Strict Transport Security (HSTS)
¿Qué es HTTP Strict Transport Security (HSTS)?
HTTP Strict Transport Security (HSTS)Política de seguridad web enviada en una cabecera HTTP que indica al navegador acceder a un dominio solo por HTTPS durante el periodo declarado.
HSTS, definido en el RFC 6797, se señaliza con la cabecera de respuesta Strict-Transport-Security. Cuando un navegador compatible la recibe, recuerda la política y eleva automáticamente cualquier petición futura a ese host (y, opcionalmente, a sus subdominios) a HTTPS, negándose a conectar si fallan el handshake TLS o la validación del certificado. Esto neutraliza los ataques de SSL stripping y la inyección de cookies en las peticiones iniciales. Las buenas prácticas combinan un max-age elevado, la directiva includeSubDomains, la directiva preload y el envío del dominio a la lista HSTS preload del navegador para proteger también la primera visita.
● Ejemplos
- 01
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
- 02
Un banco que envía su dominio principal a la lista HSTS preload de Chromium.
● Preguntas frecuentes
¿Qué es HTTP Strict Transport Security (HSTS)?
Política de seguridad web enviada en una cabecera HTTP que indica al navegador acceder a un dominio solo por HTTPS durante el periodo declarado. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa HTTP Strict Transport Security (HSTS)?
Política de seguridad web enviada en una cabecera HTTP que indica al navegador acceder a un dominio solo por HTTPS durante el periodo declarado.
¿Cómo defenderse de HTTP Strict Transport Security (HSTS)?
Las defensas contra HTTP Strict Transport Security (HSTS) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para HTTP Strict Transport Security (HSTS)?
Nombres alternativos comunes: Strict-Transport-Security, Cabecera HSTS.