Featured image of post HTTP Strict Transport Security (HSTS): Forzar HTTPSFeatured image of post HTTP Strict Transport Security (HSTS): Forzar HTTPS

HTTP Strict Transport Security (HSTS): Forzar HTTPS

Explore strict transport security headers, configuration arguments, subdomains, and preloaded site submissions.

HSTS le indica al navegador que solo se conecte al sitio mediante HTTPS, incluso si el usuario escribe http:// o hace clic en un enlace HTTP.

Cabecera HSTS

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

max-age en segundos (1 año recomendado). includeSubDomains aplica a todos los subdominios.

HSTS Preload

Lista mantenida por Chrome (cargada en todos los navegadores). Los dominios en la lista tienen HSTS activo desde la primera visita, sin necesidad de cabecera.

Registro en Preload

  1. Configura HSTS con preload. 2. Espera que max-age esté activo. 3. Registra en hstspreload.org. 4. Difícil de eliminar una vez aceptado.

Riesgos

Una vez activado, no puedes desactivar HTTPS. Si pierdes el certificado SSL, tu sitio será inaccesible. Prueba con max-age pequeño primero.