Hace cuatro años, Google implementó de manera formal una política de seguridad llamada HTTP Strict Transport Security (HSTS). Poco después, redes sociales de gran prestigio (Facebook, Twitter, Gmail…) y portales de pago como PayPal, incorporaron HSTS al SSL de sus plataformas. Con esta acción, las empresas multimillonarias enviaban un mensaje al mundo acerca de la importancia de integrar HSTS a un certificado de seguridad.
En aquel tiempo muchos se preguntaban cómo funcionaba Strict Transport Security y por qué era tan importante implementar este estándar de seguridad en un sitio web. Tras la necesidad de entender de qué trataba el HSTS, descubrimos que su propósito principal era asegurar la conexión entre los usuarios y los servidores web.
Integrar HSTS a un certificado de seguridad: ¿Cómo, cuándo y por qué implementarlo?
Actualmente, Strict Transport Security está más vigente que nunca, se ha convertido en un elemento esencial para las plataformas online. Muchos negocios están en Internet, es normal querer saber si tu web esté segura y protegida de ataques.
Por esta y otras razones en este artículo queremos destacar la importancia de integrar HSTS a un certificado de seguridad. Aunque, para ello, primero es fundamental conocer qué es un certificado SSL y cómo funciona Strict Transport Security.
¿Qué es el certificado SSL?
Un certificado Secure Socket Layer (o SSL) es una clase de código digital que conecta a una empresa a un nombre de dominio de Internet. Es el equivalente a un derecho de propiedad que obtiene una organización para usar un terreno.
El uso de este certificado revela a los navegadoras web que solamente es posible entrar a la página mediante una conexión segura.
De hecho, identificar un sitio web con certificado SSL válido es muy fácil: basta con echar un vistazo a la barra de direcciones donde deberá aparecer un símbolo de candado acompañado con en el nombre de la organización y el protocolo HTTPS.
El protocolo HTTPS es un elemento de clasificación en Google que le proporciona a un sitio web la distinción de “cinco estrellas”. Por ejemplo, una página con SSL podría interpretarse como un portal seguro, rápido y con capacidad de respuesta móvil.
Sin embargo, que un sitio web cuente con un certificado SSL no significa que el portal sea completamente seguro para los visitantes. Te explicamos por qué.
En un contexto físico, podríamos decir que el certificado actúa como un vigilante de seguridad ubicado en la entrada de una tienda. Normalmente, este guardia es capaz de detener muchas amenazas en la puerta, pero por desgracia, no podrá brindar protección al lugar si algún visitante con malas intenciones encuentra otra vía para acceder.
Es precisamente en este punto donde la decisión de integrar HSTS a un certificado de seguridad no sería por gusto. Y es que el rol de Strict Transport Security en este caso, sería obligar a todos a acceder a la tienda por una sola entrada.
¿Qué es HSTS?
Se trata de una política de seguridad que le permite a los diferentes sitios web denominarse como un espacio navegable mediante conexiones seguras (HTTPS). El estándar HSTS protege tanto a portales web como a usuarios ante una posible degradación del protocolo y de ataques cibernéticos para secuestrar cookies.
Por consiguiente, si una página web implementa una política HSTS, el navegador automáticamente deberá denegar las conexiones HTTP e impedir que los usuarios aprueben certificados SSL inseguros.
En resumidas palabras; el objetivo de esta política de seguridad es evitar ataques de intermediarios que utilizan SSL.
Hoy día se puede integrar HSTS a un certificado de seguridad sin problemas porque es compatible con casi todos los navegadores que conocemos.
¿Por qué deberías implementar HSTS en el sitio web de tu empresa?
Supongamos que tienes una tienda física, como propietario o encargado del negocio, estamos seguros que nunca cerrarás las puertas de la tienda sin ponerle candado a las puertas. De hecho, no sería extraño que también coloques detectores de metales en la entrada para evitar que entren visitantes con intenciones de llevarse tus productos.
En este sentido, los datos de tus sitios web son tan valiosos como los productos de tu tienda física, de manera que es muy importante mantenerlos seguros bajo candado.
¿Quieres saber la verdad? Bloquear la página web de tu empresa a veces no es suficiente porque hay quienes encuentran la forma de acceder al sitio mediante http: //. En este caso, HSTS exige de manera obligatoria a los visitantes y a las conexiones de aplicaciones usar HTTPS.
Por lo tanto, al integrar HSTS a un certificado de seguridad o tener instalado un encabezado Strict-Transport-Security en tu navegador, hará que sea prácticamente imposible que los usuarios con aspiraciones de robar los datos de tu sitio web recopilen información.
Claves de cómo funciona la política HSTS
- La política HSTS transforma cada una de las solicitudes no seguras en solicitudes protegidas por HTTPS. Así, la información confidencial intercambiada entre el servidor y el usuario estarán protegidas mediante cifrado.
- Para instalar esta medida es necesario contar con un certificado SSL válido para el nombre de dominio e integrar un encabezado Strict-Transport-Security (encabezado HSTS).
- Un encabezado es un fichero que se instala en el dominio y le exige al navegador conexiones seguras desde la primera conexión. ¿Cómo? Transmitiéndole que el navegador seguirá una vez que interactúe con el dominio.
- Las normas establecidas por el encabezado HSTS garantizarán que en el navegador no pueda acceder a la versión no segura (HTTP) del sitio web en un periodo de tiempo.
Conclusiones
Una vez analizado el papel de la política Strict Transport Security para mantener seguros los datos de los usuarios y de los servidores web, conviene preguntarse ¿merece la pena integrar HSTS a un certificado de seguridad? Sí, por supuesto.
Realizar la implementación es una acción importantísima. Con un certificado SSL todavía hay formas de entrar a explorar el sitio web. Por ejemplo, existen delincuentes cibernéticos que utilizan redireccionamientos 301 para enviar tráfico a las versiones HTTPS de sus páginas HTTP originales.
Por lo tanto, no instalar Strict Transport Security es como colocar un enorme candado en la puerta de tu tienda, pero dejar una ventaja sin seguro ni llave. Aunque sería un error afirmar que el estándar HSTS blinda totalmente tu sitio web contra la intercepción de datos, no se las pondrían fácil a los hackers porque tendría que diseñar ataques más sofisticados.
Hemos llegado al final de este post, esperamos que haya sido de mucha utilidad para comprender la importancia de implementar HSTS a un certificado SSL.