¿Qué es HSTS? Guía sobre la Seguridad de Transporte Estricta HTTP

Última actualización por Dionisie Gitlan

¿Alguna vez te ha preocupado que los datos de los visitantes de tu sitio web caigan en malas manos? HTTP Strict Transport Security (HSTS) ha llegado para aliviar esos temores. Garantiza que los navegadores siempre utilicen por defecto conexiones HTTPS seguras, reduciendo significativamente la vulnerabilidad de tu sitio a las ciberamenazas.

Qué es el HSTS

En este artículo, descubrirás exactamente cómo funciona HSTS, sus importantes ventajas y los pasos prácticos para implantarlo eficazmente. Juntos, nos aseguraremos de que tu sitio web siga siendo seguro y de confianza para todos los que lo visiten.

Índice

  1. ¿Qué es el HSTS?
  2. ¿Cómo funciona el HSTS?
  3. Ventajas de implantar HSTS
  4. Guía paso a paso para implantar el HSTS
  5. Lista de precarga HSTS
  6. Retos comunes y buenas prácticas
Consigue certificados SSL hoy mismo

¿Qué es el HSTS?

HTTP Strict Transport Security (HSTS) es una norma de seguridad web que garantiza que los navegadores siempre accedan a un sitio web utilizando conexiones HTTPS seguras. Su objetivo principal es proteger a los sitios web y a los usuarios de las ciberamenazas más frecuentes, como los ataques de intermediario (MITM), la eliminación de SSL y el secuestro de cookies.

Antes de HSTS, aunque un sitio tuviera HTTPS activado, los agentes de usuario (navegadores web) podían intentar conectarse inicialmente a través de HTTP no seguro, creando vulnerabilidades. Los atacantes podían aprovechar estos momentos para interceptar el tráfico, redirigir a los usuarios a sitios maliciosos o robar datos confidenciales. HSTS soluciona esto indicando a los navegadores, mediante una cabecera especial, Strict-Transport-Security, que nunca intenten una conexión no segura después de la primera visita segura.

Implantar HSTS transforma la postura de seguridad de tu sitio eliminando los redireccionamientos inseguros y minimizando las vulnerabilidades. Es crucial para los sitios web que manejan datos sensibles de los usuarios, transacciones financieras o que requieren el cumplimiento de normativas.

Se introdujo formalmente en 2012 mediante el RFC 6797, estableciendo directrices claras para su aplicación.

¿Cómo funciona el HSTS?

Cuando tu navegador visita por primera vez un sitio web habilitado para HSTS a través de una conexión segura HTTPS, el servidor envía una cabecera HSTS de vuelta al navegador. Esta cabecera contiene instrucciones críticas para futuras visitas, especificando que cualquier intento de acceder al sitio web a través de HTTP debe redirigirse automáticamente a HTTPS.

Las directivas clave de una cabecera HSTS son:

  • max-age: Esta directiva define la duración (en segundos) que los navegadores deben recordar para reforzar las conexiones HTTPS. Un valor típico podría ser un año(31536000 segundos).
  • incluirSubDominios: Esta directiva opcional garantiza que la política también se aplica a todos los subdominios, salvaguardando toda la estructura de tu dominio.
  • precarga: Otra directiva opcional que indica el consentimiento de tu dominio para ser incluido en la lista de precarga del navegador, ofreciendo protección desde la primera visita.

Veamos un ejemplo sencillo. Cuando un navegador se conecta a https://example.com, la respuesta del servidor podría incluir:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Con esta cabecera, el navegador entiende que debe utilizar siempre HTTPS para este sitio y todos sus subdominios durante un año. Si más adelante un visitante intenta conectarse a través de http://example.com o de un subdominio como http://sub.example.com, el navegador convierte automáticamente la solicitud a HTTPS sin entrar nunca en contacto con la versión insegura.

Una limitación de HSTS es la vulnerabilidad potencial durante la conexión inicial si no se utiliza la precarga HSTS. Afortunadamente, la precarga HSTS resuelve este problema incrustando el dominio en las listas integradas de los navegadores, garantizando conexiones seguras incluso durante la primera visita.

Ventajas de implantar HSTS

Implementar HSTS ofrece numerosas ventajas tanto para ti como para los visitantes de tu sitio web:

  • Seguridad mejorada: Al forzar HTTPS, HSTS previene eficazmente amenazas comunes como los ataques del hombre en el medio (MITM), la eliminación de SSL, el secuestro de cookies y los ataques de degradación de protocolo. Con HSTS activo, los atacantes pierden oportunidades de explotar conexiones inseguras, añadiendo una poderosa capa de defensa a tu estrategia global de seguridad.
  • Mejora la confianza y la experiencia del usuario: Los visitantes se sienten más seguros al interactuar con tu sitio web cuando ven constantemente un icono de candado seguro en su navegador. Esta indicación de seguridad mejorada puede reducir las tasas de rebote, aumentar la satisfacción del usuario y fomentar la repetición de las visitas, fomentando en última instancia relaciones más sólidas con los clientes.
  • Beneficios SEO: Google y otros motores de búsqueda dan prioridad a los sitios web seguros, lo que significa que el uso sistemático de HTTPS puede tener un impacto positivo en la visibilidad y capacidad de descubrimiento de tu sitio web en Internet. Una mejor visibilidad se traduce en un aumento del tráfico orgánico, posicionando tu sitio web por delante de los competidores que no han adoptado normas HTTPS estrictas.
  • Cumplimiento normativo: Las empresas que manejan datos sensibles deben cumplir normativas estrictas como PCI DSS, GDPR e HIPAA. Implantar HSTS es fundamental para cumplir estos requisitos, ya que refuerza las normas de comunicación segura y evita posibles violaciones de datos.
Ahorra un 10% en Certificados SSL

Guía paso a paso para implantar el HSTS

Sigue estos pasos prácticos para implantar el HSTS con eficacia:

1. Preparación para HTTPS

2. Configurar las cabeceras HSTS

Una vez configurado HTTPS, activa la cabecera HSTS en tu servidor web:

Apache: Añade lo siguiente a tu archivo .htaccess o a la configuración del servidor:

Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains; preload"

Reinicia Apache para activar los cambios.

Nginx: Inserta esto en el bloque de tu servidor:

add_header Strict-Transport-Security "max-age=31536000; includeSubDomains; preload" always;

Recarga Nginx para aplicar la configuración.

Microsoft IIS: Incluye esto en tu archivo web.config:

<system.webServer>
<httpProtocol>
<customHeaders>
<add name="Strict-Transport-Security" value="max-age=31536000; includeSubDomains; preload"/>
</customHeaders>
</httpProtocol>
</system.webServer>

Guarda los cambios y reinicia IIS para garantizar una aplicación correcta.

3. Probar tu configuración

  • Confirma tu configuración HSTS realizando pruebas exhaustivas. Herramientas como SSL Labs’ SSL Server Test o SecurityHeaders.com proporcionan una rápida verificación del despliegue de encabezados y de los grados de seguridad.
  • Para una inspección más profunda, utiliza las herramientas para desarrolladores del navegador. Abre las herramientas para desarrolladores(F12) en Chrome o Firefox, navega hasta la pestaña Red y actualiza la página. Comprueba las cabeceras de respuesta HTTP para verificar la presencia y corrección de la cabecera Strict-Transport-Security.

4. Aumentar gradualmente la edad máxima

  • Empieza inicialmente con un valor de edad máxima corto (por ejemplo, 300 segundos). Este enfoque prudente ayuda a identificar rápidamente cualquier error de configuración sin afectar gravemente a tus visitantes.
  • Aumenta gradualmente esta duración una vez confirmada la estabilidad, extendiéndola primero a una semana(604800 segundos), luego a un mes(2592000 segundos), y finalmente llegando a un año o más(31536000 segundos).
  • Supervisa de cerca cada etapa, revisando los análisis, los registros de errores y los comentarios de los usuarios. Aborda cualquier problema notificado con prontitud antes de seguir aumentando la duración.

Lista de precarga HSTS

La lista de precarga HSTS es una importante iniciativa de seguridad gestionada por los principales navegadores, como Google Chrome, Mozilla Firefox, Safari, Microsoft Edge y Opera. Permite a los navegadores cargar sitios web exclusivamente a través de HTTPS desde la primera visita, eliminando las vulnerabilidades asociadas a las conexiones HTTP iniciales.

Añadir tu dominio a la lista de precarga

Debes cumplir unos criterios específicos para incluir tu sitio web en la lista de precarga.

  1. En primer lugar, asegúrate de que tu dominio tiene un certificado SSL/TLS válido correctamente instalado y configurado. Además, todo el tráfico HTTP debe redirigirse automáticamente y sin problemas a HTTPS, evitando intentos de acceso inseguro.
  2. El propio encabezado HSTS debe especificar un valor max-age sustancial (generalmente al menos un año o 31536000 segundos). Para que pueda incluirse en el navegador, debe incluir las directivas includeSubDomains y preload.
  3. Tras cumplir estos criterios, puedes enviar tu dominio a través del sitio oficial de envío de precarga, hstspreload.org. Una vez aprobado, tu sitio web pasa a formar parte de la lista de precarga incrustada en los navegadores, ofreciendo protección inmediata contra posibles amenazas a la seguridad, incluso antes de la primera interacción de un usuario con tu sitio.

Consideraciones importantes

Ten cuidado: la precarga es irreversible a corto plazo. Si tu sitio web no puede mantener una compatibilidad continua con HTTPS, la precarga puede provocar problemas de accesibilidad. Prueba a fondo tu despliegue HTTPS antes de enviar tu dominio.

Retos comunes y buenas prácticas

La implementación de HSTS mejora significativamente la seguridad de los sitios web, pero también puede introducir desafíos. A continuación te explicamos cómo puedes abordar estos problemas comunes de forma eficaz:

  • Cuestiones de contenido mixto: Cuando algunos elementos de la página se cargan a través de HTTP inseguro mientras otros utilizan HTTPS, los navegadores advierten a los visitantes, provocando confusión o desconfianza. Resuélvelo implantando una Política de Seguridad de Contenidos (PSC), que indique a los navegadores que identifiquen, informen y bloqueen automáticamente los recursos inseguros. Audita regularmente tu sitio para asegurarte de que todos los scripts, imágenes y recursos externos incrustados utilicen HTTPS de forma coherente, garantizando que los visitantes vean una experiencia de navegación segura sin advertencias.
  • Expiración del certificado: Un certificado SSL/TLS caducado puede bloquear por completo a los visitantes, creando una interrupción significativa, especialmente con políticas HSTS estrictas en vigor. Evita las caducidades inesperadas de los certificados implantando procesos automatizados de supervisión y renovación. Herramientas como Let’s Encrypt o los servicios automatizados de gestión de certificados agilizan las renovaciones, garantizando un acceso seguro continuo sin tiempo de inactividad. Establece recordatorios o alertas que avisen a tu equipo con semanas de antelación para evitar caducidades accidentales.
  • Complicaciones del proxy inverso: Los proxies inversos o las CDN a veces pueden interrumpir la correcta propagación de cabeceras HSTS, interfiriendo potencialmente con las peticiones HTTPS. Para evitarlo, confirma que tu proxy inverso o CDN pasa las cabeceras correctamente, manteniendo las cabeceras seguras en toda la cadena de conexión. Comprueba regularmente tus cabeceras HSTS utilizando escáneres de seguridad para verificar la configuración correcta y la integridad de las cabeceras, especialmente después de cambios en la infraestructura o en la configuración.
  • Mantener entornos no-HSTS: Los entornos de desarrollo y ensayo suelen requerir acceso HTTP con fines de prueba y depuración. Evita aplicar políticas HSTS en estos entornos que no son de producción. En su lugar, utiliza dominios o subdominios separados dedicados al desarrollo o a las pruebas. Diferéncialos claramente de tus sitios de producción, evitando la aplicación accidental de políticas HSTS estrictas que puedan interrumpir los flujos de trabajo o los procesos de prueba.

Da el primer paso hacia una seguridad a prueba de balas

¿Preparado para dar el siguiente paso? Protege tu sitio web con SSL Dragónde confianza. Disfruta de una configuración sin complicaciones, precios competitivos y un soporte excepcional. Únete a las innumerables empresas que ya se benefician de una mayor seguridad web. Obtén tu certificado SSL de SSL Dragon hoy mismo y asegúrate de que tu sitio web sigue siendo seguro, fiable y cumple la normativa.

Ahorre un 10% en certificados SSL al realizar su pedido hoy mismo.

Emisión rápida, cifrado potente, 99,99% de confianza del navegador, asistencia dedicada y garantía de devolución del dinero en 25 días. Código del cupón: SAVE10

Pedir ahora
Una imagen detallada de un dragón en vuelo
Escrito por

Redactor de contenidos experimentado especializado en Certificados SSL. Transformar temas complejos de ciberseguridad en contenido claro y atractivo. Contribuir a mejorar la seguridad digital a través de narrativas impactantes.

Entradas relacionadas
El 61% de los políticos del mundo no utiliza HTTPS
HTTPS frente a VPN
HTTPS vs VPN – ¿Necesitas VPN si usas HTTPS?
Firefox 83 pone a disposición de los usuarios el modo HTTPS-Only
Desactivar HSTS
¿Cómo desactivar HSTS en Chrome y Firefox?