Implementando HSTS en sitios web





HTTP Strict Transport Security (o Seguridad de transporte HTTP estricta) (HSTS) es un mecanismo de política de seguridad web según la cual un servidor web declara a los agentes de usuario compatibles (por ejemplo,navegadores web) que deben interactuar con ellos solamente mediante conexiones HTTP seguras (es decir, en capas HTTP sobre TLS/SSL -> "HTTPS"). HSTS es un protocolo de normas de IETF y se especifica en el RFC 6797 . La política HSTS1 es comunicada por el servidor al agente de usuario a través de un campo de la cabecera HTTP de respuesta denominado "Strict-Transport-Security". La política HSTS especifica un período de tiempo durante el cual el agente de usuario deberá acceder al servidor sólo en forma segura.


Luego de leer el artículo publicado por Chema Alonso, de titulo: Revisar la configuración HSTS y HPKP en el navegador de Internet para estar más seguro procedí a configurar mi sitio y así darle un toque extra.

Empecemos:

Debes poseer un certificado web valido, recomiendo usar Lets Encrypt. Lets Encrypt es una nueva autoridad de certificación: gratis, automatizada y abierta. Una vez tengas la certificación web valida, puedes procedes a implementar del HSTS.


Lets Encrypt


La Semántica de las cabeceras esta defifina en la RFC 6797

En el .htaccess (debes tener habilitado el módulo headers - "a2enmod headers") escribir lo siguiente:

 Header always set Strict-Transport-Security "max-age=10886400; includeSubDomains; preload" env=HTTPS


En PHP

header('Strict-Transport-Security:max-age=10886400;includeSubDomains;preload');

Ya configurado procedemos a revisar nuestro sitio en: ssllabs.com para verificar que todo lo del certificado funciona correctamente.


ssllabs validación


Una vez hayas realizado estos pasos, ingresa a : https://hstspreload.appspot.com/ y envia tu dominio para la lista blanca de dominios que usan HSTS. De tener algún error el sitio te lo indicará


hstspreload.appspot validación


Más información
Wikipedia
developer.mozilla.org



Otras artículos de interés:

Windows vs. Linux, Mitos y Realidades
En un enlace en los servidores de Microsoft, que data del 2003 y para esa fecha "probablemente" el autor tendría algunos aciertos sobre lo que escribe. El enlace fue enviado a la lista de seguridad0.com donde los integrantes...
Actualizar al Kernel 3.4 en Ubuntu / LinuxMint
Novedades del Kernel 3.4: Mejoras en sistema de archivos Btrfs: Bloques de metadatos más grandes (mayores que 4KB), mejor rendimiento de los metadatos (caché de páginas de memoria mejorado, uso de CPU reducido), mejora...
Tip de mejora en Rendimiento de Ubuntu (I)
Hay muchas técnicas y recursos que permiten entonar o hacerle Tuning a nuestros sistema operativo, en este caso a UBUNTU y/o basados en en Debian. Hemos ido colocando algunos tips sencillos que cualquiera puede hacer, claro todos desde cons...
¿Sabes que es la FREENET?
Hace algunos años para ser especifico en 1999, Ian Clarke presento un proyecto en la Universidad de Edimburgo, el cual ofrece descentralización, además de evitar la censura y cualquier tipo de control. Se conoce con el nombre de FREENET. Desde hac...
Encriptación WPA en Ubuntu
Una de las formas de encriptar una red wireless es usar encriptación WPA. Este método de encriptación es una evolución del ...
Configurar compatibilidad openoffice para Microsoft Office en Ubuntu
Existe un plugin desarrollado por Novel que permite leer y escribir ficheros en el nuevo formato OpenXML usando en Microsoft Office 2007. Descargamos el rpm odf converter desde la web de ...
Cambiar archivos .WAV a MP3 desde consola en Linux
Con este script podemos transofrmar los archivos .WAV (WAV (o WAVE), apócope de WAVE form audio file format, es un formato de audio digital normalmente sin compresión de datos desarrollado y propiedad de Microsoft y de IBM que se utiliza para...
Seguridad Básica en GNU/Linux (IV Parte)
Seguridad del Sistema de Archivos Una norma básica de seguridad radica en la asignación a cada usuario sólo de los permisos necesarios para poder cubrir las necesidades de su trabajo sin poner en riesgo el trabajo de ...
Instalar y Habilitar curl en centOS
Abrimos consola (terminal) Ejecutamos: yum remove curl curl-devel Ahora, ejecutamos: wget http://curl.haxx.se/download/curl-7.24.0.tar.bz2 tar xfj curl-7.24.0.tar.bz2 cd curl-7.24.0...
Algunas Restricciones en Información de Apache
Editamos el archivo /etc/apache2/conf.d/security sudo su nano /etc/apache2/conf.d/security Cambiamos o agregamos: # Por default viene en ServerTokens OS ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • hsts
  • implementando
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • sitios
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra