¿Cómo desactivar HSTS en Chrome y Firefox?

Última actualización por Dionisie Gitlan
Disable HSTS

¿Te enfrentas a frustrantes errores HSTS en Chrome o Firefox? No se desespere. Esta guía detallada está diseñada expresamente para usted.

Te explicaremos qué es, por qué te encuentras con errores y, lo más importante, cómo desactivar HSTS en Chrome y Firefox.

Con nuestros pasos concisos y explicaciones claras, solucionarás este error técnico en un abrir y cerrar de ojos. ¡Comencemos!

Índice

  1. ¿Qué es el HSTS?
  2. ¿Qué es el error HSTS?
  3. ¿Cómo desactivar HSTS en el navegador Chrome?
  4. ¿Cómo desactivar HSTS en el navegador Firefox?

¿Qué es el HSTS?

HSTS son las siglas de HTTP Strict Transport Security (seguridad estricta del transporte HTTP), un mecanismo de política de seguridad web que ayuda a proteger los sitios web contra los ataques de intermediario, como los ataques de degradación de protocolo y el secuestro de cookies. HSTS garantiza que un navegador web sólo se comunique con un sitio web a través de conexiones seguras y cifradas. Es una de las medidas de seguridad en línea más eficaces contra el robo de datos sensibles.

¿Cómo funciona el HSTS?

La implementación de HSTS implica configurar el servidor web para que incluya el encabezado HSTS en las respuestas HTTP. Este encabezado, conocido como “Strict-Transport-Security”, especifica el tiempo máximo (en segundos) durante el cual el navegador debe aplicar HTTPS, denominado “max-age”.

Opcionalmente, la cabecera puede incorporar directivas como “includeSubDomains”, que extiende la política HSTS a todos los subdominios, y “preload”, que indica a los navegadores que incluyan el dominio en sus listas de precarga HSTS. Estar en la lista de precarga garantiza el cumplimiento de HSTS incluso en la visita inicial.

Cuando un usuario visita un sitio habilitado para HSTS, el navegador reconoce el encabezado HSTS y almacena internamente esta información. La aplicación es automática durante las visitas posteriores dentro de la duración “max-age” especificada.

Aunque un usuario intente acceder al sitio a través de “http://” o haga clic en un enlace HTTP, el navegador convierte sin problemas la solicitud a HTTPS antes de la transmisión.

Durante la duración de la política HSTS, el navegador utiliza HTTPS de forma consistente para todas las solicitudes posteriores al dominio habilitado para HSTS, ignorando cualquier intento de acceder al sitio a través de una conexión no cifrada.

Ejemplos de HSTS

He aquí algunos ejemplos de cabeceras HTTP Strict Transport Security:

Cabecera HSTS básica

Strict-Transport-Security: max-age=31536000

En este ejemplo, la directiva max-age se establece en 31536000 segundos (1 año), lo que indica que el navegador debe aplicar la política HSTS durante ese tiempo.

HSTS con inclusión de subdominios

Strict-Transport-Security: max-age=31536000; includeSubDomains

Este ejemplo incluye la directiva includeSubDomains, que indica que la política HSTS debe aplicarse a todos los subdominios del dominio actual.

Precarga HSTS

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Este ejemplo incluye la directiva preload , que indica a los navegadores que el dominio debe incluirse en sus listas de precarga HSTS. Estar en la lista de precarga significa que HSTS se aplica incluso en la primera visita al sitio web.

HSTS con subdominio personalizado Max-Age

Strict-Transport-Security: max-age=31536000; max-age=2592000; includeSubDomains
En este ejemplo, el dominio principal tiene una antigüedad máxima de 1 año, mientras que los subdominios tienen una antigüedad máxima más corta, de 30 días.

Los administradores web deben configurar las cabeceras HSTS para adaptarlas a sus necesidades de seguridad y a la estructura de sus dominios. Realice pruebas y controles periódicos para lograr una eficacia óptima. Analicemos ahora algunas ventajas y limitaciones del HSTS.

Ventajas del HSTS

Una configuración HSTS adecuada proporciona estas ventajas clave:

  1. Mitigación de ataques Man-in-the-Middle: HSTS evita las escuchas y la manipulación de datos frustrando posibles ciberataques.
  2. Protección contra el secuestro de sesiones: HSTS protege contra las vulnerabilidades de sesión garantizando la transmisión segura de las cookies de sesión.
  3. Prevención de la degradación de protocolos: Reduce la amenaza de ataques que aprovechan protocolos de comunicación inseguros.
  4. Mayor privacidad del usuario: Impulsa la privacidad del usuario transmitiendo información sensible de forma segura, mejorando la confianza en el sitio web.
  5. Prevención de ataques de eliminación de SSL: Garantiza que las interacciones de los usuarios con el sitio web permanezcan cifradas y seguras, minimizando el riesgo de ataques de eliminación de SSL con éxito.

Limitaciones del HSTS

Como cualquier tecnología, la configuración HSTS tiene algunas limitaciones. He aquí algunas de ellas:

  1. Depende de la compatibilidad del navegador: El despliegue y la eficacia de HSTS dependen de la compatibilidad del navegador, y los usuarios que empleen navegadores IE no compatibles o anticuados no podrán beneficiarse de sus funciones de seguridad.
  2. Persistencia estricta de la política: Una vez que implementas HSTS, la política es persistente durante una duración especificada, lo que dificulta su revocación o modificación si es necesario rápidamente.
  3. Posibilidad de certificados caducados: Si el certificado SSL/TLS de un sitio web caduca, los usuarios pueden tener dificultades para acceder al sitio hasta que se renueve el certificado, incluso si HSTS está activado.

A continuación, centrémonos en el error HSTS. Pero, antes de sumergirnos en cómo desactivar HSTS en Chrome y Firefox, entendamos primero qué es el error HSTS y por qué se produce.

¿Qué es el error HSTS?

El error HSTS se produce cuando un sitio que debería cargarse a través de conexiones seguras HTTPS lo hace a través de HTTP (conexiones inseguras). Como resultado, los navegadores web como Chrome o Firefox mostrarán un error HSTS, bloqueando el acceso del usuario al sitio web. La política HSTS del sitio, que ordena a los navegadores que sólo se conecten a través de conexiones seguras, provoca este error.

¿Qué causa el error HSTS?

Cuando un usuario se encuentra con un error HSTS, el navegador suele mostrar una advertencia o un mensaje de error, impidiendo que el usuario acceda al sitio web. La solución de errores HSTS implica abordar los problemas específicos que los causan, como actualizar los certificados SSL, solucionar problemas de contenido mixto o garantizar la hora correcta del servidor.

Los errores HSTS más comunes son:

  1. Problemas con los certificados: Si hay un problema con el certificado SSL/TLS del sitio web, como un certificado caducado o no válido, puede desencadenar un error HSTS.
  2. Política HSTS no válida: Si el sitio web envía una política HSTS no válida o con un formato incorrecto, los navegadores pueden rechazar la conexión.
  3. Contenido mixto: Si el sitio web contiene una mezcla de contenido seguro (HTTPS) y no seguro (HTTP), puede desencadenar errores HSTS.
  4. Diferencia horaria: HSTS se basa en la hora correcta del sistema tanto en el cliente (ordenador del usuario) como en el servidor. Si hay una disparidad de tiempo significativa, puede causar errores HSTS.

¿Cómo desactivar HSTS en el navegador Chrome?

Desactivar HSTS en Chrome implica una serie de pasos específicos. HTTP Strict Transport Security protege los datos sensibles forzando conexiones https seguras. Pero a veces, es posible que tenga que desactivar HSTS debido a la “Usted no puede visitar domain.com ahora porque el sitio web utiliza HSTS.” error u otros problemas https.

Para desactivar HSTS, tienes que borrar la configuración de HSTS en Chrome.

  1. Escriba chrome://net-internals/#hsts en la barra de direcciones para acceder a la configuración HSTS de Chrome.
  2. Busque la sección Eliminar políticas de seguridad de dominio en el menú HSTS. Escriba el nombre del dominio en el que se produce el error HSTS en el campo Dominio y haga clic en el botón Eliminar para eliminar la configuración HSTS de ese sitio.
Desactivar HSTS Chrome

Si el error persiste, puede modificar la configuración HSTS local a través del editor de registro en el sistema operativo Windows:

  1. Haga clic con el botón derecho del ratón en Inicio y seleccione Ejecutar. Escriba regedit en el cuadro Abrir: y, a continuación, seleccione Aceptar.
  2. Vaya a HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Chrome.
  3. En la parte derecha de la ventana, busque el valor HstsEnabled. Si no está ahí, créelo haciendo clic con el botón derecho del ratón en el espacio vacío, seleccionando Nuevo > Valor DWORD (32-bit), y nombrándolo HstsEnabled.
  4. Haga doble clic en el valor recién creado e introduzca 0 en el cuadro de datos Valor para desactivar HSTS.

Recuerde que desactivar HSTS puede exponer los datos confidenciales a posibles amenazas. Por lo tanto, utiliza este método sólo cuando el error HSTS de Chrome interrumpa tu navegación, y actívalo una vez que hayas solucionado los problemas de conexión.

Método alternativo: Usando Chrome DevTools:

  1. Abra Chrome y navegue hasta el sitio web en el que desea desactivar HSTS.
  2. Para abrir Chrome DevTools, haz clic con el botón derecho en la página, selecciona Inspeccionar y, a continuación, ve a la pestaña Red .
  3. Recargue la página (puede utilizar Ctrl + R o Comando + R).
  4. Busque la petición inicial (la primera petición realizada al recargar la página). Debe ser el documento HTML.
  5. En la sección Headers de la solicitud, busque el encabezado Strict-Transport-Security.
  6. Puede modificar el valor de max-age a 0 o eliminar toda la cabecera. Esto indicará a Chrome que no aplique HSTS para el dominio especificado.
Desactivar HSTS Chrome Dev Tools

¿Cómo desactivar HSTS en el navegador Firefox?

Puedes desactivar la configuración HSTS en Firefox para un sitio específico siguiendo estos pasos:

  1. Escribe about:config en la barra de direcciones y pulsa Intro.
  2. Acepta el riesgo y continúa.
  3. En la barra de búsqueda, escriba stricttransportsecurity.
  4. Debería ver una entrada llamada network.stricttransportsecurity.preloadlist. Haga doble clic sobre él para cambiar el valor a false. Esto desactiva HSTS.
Diable HSTS Firefox

Recuerde que al borrar HSTS se eliminará la configuración de HSTS de todos los sitios web, no sólo de aquel con el que está teniendo problemas. Una vez realizados estos pasos, tendrás que reiniciar Mozilla Firefox para que los cambios surtan efecto.

Si no ves los cambios después de reiniciar Firefox, puede que necesites borrar los datos almacenados en caché. Para ello, vaya al menú Edición, seleccione Preferencias, haga clic en Privacidad y seguridad y, a continuación, en el botón Borrar datos. Asegúrese de marcar Contenido web en caché y pulse el botón Eliminar . Después de borrar la caché HSTS, reinicia Firefox de nuevo.

PREGUNTAS FRECUENTES

¿Se sigue utilizando el HSTS?

Sí, HSTS se sigue utilizando como mecanismo de seguridad de sitios web para imponer el uso de conexiones seguras sobre HTTPS por parte de los navegadores web y proteger todos los datos en tránsito.

¿Son todos los navegadores compatibles con HSTS?

Sí, la mayoría de los navegadores web modernos, incluidos Chrome, Firefox, Safari, Edge y otros, admiten HSTS ) No obstante, siempre es recomendable consultar la documentación específica de cada navegador para obtener la información más actualizada.

¿Está HSTS activado por defecto?

HSTS no está activado por defecto en todos los sitios web. Los administradores de sitios web deben configurar sus servidores para que incluyan el encabezado HSTS en la respuesta, especificando la duración durante la cual debe aplicarse HSTS. Una vez que un navegador encuentra el encabezado HSTS, se acordará de aplicar conexiones seguras durante el tiempo especificado.

¿Necesito activar HSTS?

Recomendamos implementar HSTS para mejorar la seguridad asegurando que todas las comunicaciones con el servidor se producen a través de una conexión HTTPS segura. Sin embargo, no es obligatorio, y la decisión de activar HSTS depende de los requisitos y consideraciones de seguridad específicos.

¿Cuáles son los riesgos de no disponer de HSTS?

Sin HSTS, existe el riesgo de ataques man-in-the-middle, en los que un atacante podría interceptar y manipular conexiones no seguras. HSTS ayuda a mitigar este riesgo reforzando HTTPS y protegiendo a los usuarios de ciertos tipos de amenazas a la seguridad.

¿Debo borrar la configuración de HSTS?

Borrar la configuración de HSTS suele ser innecesario para los usuarios habituales. Sin embargo, si tiene problemas persistentes para acceder a un sitio web debido a un error de privacidad o a información incorrecta de HSTS, borre la configuración de HSTS y vea si ayuda.

¿Es seguro el HSTS?

Sí, HSTS es seguro y mejora la seguridad web al garantizar que la comunicación con un sitio web se produce a través de HTTPS seguro. Sin embargo, como cualquier medida de seguridad, debe configurarlo correctamente para evitar posibles problemas y otros errores HTTPS.

¿Hay algún inconveniente en utilizar HSTS?

Si el sitio no admite HTTPS, HSTS puede bloquear el acceso de los usuarios a un sitio web si hay problemas con el certificado SSL/TLS. Todos los sitios web deben activar HTTPS y cumplir las prácticas estándar de SEO y seguridad.

Conclusión

Desactivar la configuración HSTS en Chrome y Firefox es fácil una vez que conoces los pasos. No dejes que los errores HSTS afecten a tu navegación. Con unos pocos ajustes aquí y allá, tendrá el poder de controlar la configuración de HSTS y solucionar posibles problemas.

Ahora que sabes cómo desactivar HSTS en Chrome y Firefox, deberías identificar y resolver los errores del navegador de forma más eficiente. Sin embargo, ten en cuenta que desactivar las funciones de seguridad sólo debe hacerse como último recurso.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

¡Ahorra un 10% ahora!
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.

Entradas relacionadas
El 61% de los políticos del mundo no utiliza HTTPS
HTTPS vs VPN
HTTPS vs VPN – ¿Necesitas VPN si usas HTTPS?
Firefox 83 pone a disposición de los usuarios el modo HTTPS-Only