Implementando HSTS en sitios web






HTTP Strict Transport Security (o Seguridad de transporte HTTP estricta) (HSTS) es un mecanismo de política de seguridad web según la cual un servidor web declara a los agentes de usuario compatibles (por ejemplo,navegadores web) que deben interactuar con ellos solamente mediante conexiones HTTP seguras (es decir, en capas HTTP sobre TLS/SSL -> "HTTPS"). HSTS es un protocolo de normas de IETF y se especifica en el RFC 6797 . La política HSTS1 es comunicada por el servidor al agente de usuario a través de un campo de la cabecera HTTP de respuesta denominado "Strict-Transport-Security". La política HSTS especifica un período de tiempo durante el cual el agente de usuario deberá acceder al servidor sólo en forma segura.


Luego de leer el artículo publicado por Chema Alonso, de titulo: Revisar la configuración HSTS y HPKP en el navegador de Internet para estar más seguro procedí a configurar mi sitio y así darle un toque extra.

Empecemos:

Debes poseer un certificado web valido, recomiendo usar Lets Encrypt. Lets Encrypt es una nueva autoridad de certificación: gratis, automatizada y abierta. Una vez tengas la certificación web valida, puedes procedes a implementar del HSTS.


Lets Encrypt


La Semántica de las cabeceras esta defifina en la RFC 6797

En el .htaccess (debes tener habilitado el módulo headers - "a2enmod headers") escribir lo siguiente:

 Header always set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload" env=HTTPS


En PHP

header('Strict-Transport-Security:max-age=10886400;includeSubDomains;preload');

Ya configurado procedemos a revisar nuestro sitio en: ssllabs.com para verificar que todo lo del certificado funciona correctamente.


ssllabs validación


Una vez hayas realizado estos pasos, ingresa a : https://hstspreload.appspot.com/ y envia tu dominio para la lista blanca de dominios que usan HSTS. De tener algún error el sitio te lo indicará


hstspreload.appspot validación


Más información
Wikipedia
developer.mozilla.org



Otras artículos de interés:

Inyeccion SQL
¿Qué es la inyección de código SQL y como podemos evitarla? Inyección de código SQL La inyección SQL consiste en la modificación del comportamiento de nuestras consultas mediante la introducción de parámetros no deseados en lo...
Tips: Resetear password en Ubuntu
Arrancar GNU/Linux en modo single user (un usuario) Reinicia tu máquina. Presiona ESC mientras se carga GRUB para entrar al menú. Si hay una opción de recovery (recuperación) selecciónala y presiona B para arrancar en mod...
MATAR Procesos Zombie en Ubuntu / LinuxMint
Un proceso zombie o "defunct" (difunto) es un proceso que ha completado su ejecución pero aún tiene una entrada en la tabla de procesos, permitiendo al proceso que lo ha creado leer el estado de su salida. Metafórica...
Windows vs. Linux, Mitos y Realidades
En un enlace en los servidores de Microsoft, que data del 2003 y para esa fecha "probablemente" el autor tendría algunos aciertos sobre lo que escribe. El enlace fue enviado a la lista de seguridad0.com donde los integrantes...
Reparar sectores ilegibles de Discos Duros en Linux (Ubuntu | LinuxMint | Xanadu)
En oportunidades nuestros discos duros por tiempo de uso, malos tratos etc, empieza a dar dolores de cabeza. para conocer que tan malo esta la cuestión en nuestro disco duro usaremos la orden: badblocks, y e2fs...
Sincronizando carpetas en Ubuntu
El sitio atareado.es publicó una forma muy sencilla de sincronizar carpetas usando las bondades de Ubuntu. Sincronizar carpetas es importante cuando no se tiene un punto de trabajo fijo, o bien posee un equipo portátil que ...
Thunar: Opción de Buscar archivos
Por default Thunar no posee la opción de Buscar Archivos, por lo que tenemos que recurrir a este pequeño truco: Instalamos: sudo aptitude install zenity thunar-archive-plugin Creamos...
Guía de operaciones de seguridad para Windows 2000 Server (PARTE III)
Asegurar servidores basándose en su función. En el capítulo anterior, observamos cómo se puede usar una directiva de grupo para definir la configuración de seguridad en los servidores. En este capítulo, veremos aspectos más específicos, com...
Liberar memoria de RAM en Linux desde la consola
Al liberar la memoria de RAM de nuestro computador estaremos quitando toda la información de programas y procesos que habitualmente se ejecutan en el computador, para de esa forma lograr que este tipo de elementos verdaderamente esenciales ...
Peligros de los ataques XSS y CSRF
Entre todas las vulnerabilidades que atañen a las aplicaciones web, principalmente a las escritas en PHP, sin duda alguna las más populares son los ataques XSS (ing. Cross-Site Scripting) y CSRF (ing. Cross-Site Request Forg...

Brindanos
un o una


Redes Sociales

Publicidad

Virtualización de Servicios y Redes

Categorías


Planeta Vaslibre

Blog Roll


Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • hsts
  • implementando
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • sitios
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra