Fa quatre anys, Google va implementar de manera formal una política de seguretat anomenada HTTP Strict Transport Security (HSTS). Poc després, xarxes socials de gran prestigi (Facebook, Twitter, Gmail ...) i portals de pagament com PayPal, van incorporar HSTS a l'SSL de les seves plataformes. Amb aquesta acció, les empreses multimilionàries enviaven un missatge a el món sobre la importància de integrar HSTS a un certificat de seguretat.
En aquell temps molts es preguntaven com funcionava Strict Transport Security i per què era tan important implementar aquest estàndard de seguretat en un lloc web. Després de la necessitat d'entendre de què tractava el HSTS, vam descobrir que el seu propòsit principal era assegurar la connexió entre els usuaris i els servidors web.
Integrar HSTS a un certificat de seguretat: Com, quan i per què implementar?
Actualment, Strict Transport Security està més vigent que mai, s'ha convertit en un element essencial per a les plataformes online. Molts negocis estan a Internet, és normal voler saber si la teva web estigui segura i protegida de ataques.
Per aquesta i altres raons en aquest article volem destacar la importància de integrar HSTS a un certificat de seguretat. Encara que, per això, primer és fonamental conèixer què és un certificat SSL i com funciona Strict Transport Security.
Què és el certificat SSL?
Un certificat Secure Socket Layer (o SSL) És una classe de codi digital que connecta a una empresa a un nom de domini d'Internet. És l'equivalent a un dret de propietat que obté una organització per utilitzar un terreny.
L'ús d'aquest certificat revela als navegadores web que només és possible entrar a la pàgina mitjançant una connexió segura.
De fet, identificar un lloc web amb Certificat SSL vàlid és molt fàcil: només cal fer una ullada a la barra d'adreces on haurà d'aparèixer un símbol de cadenat acompanyat amb al nom de l'organització i el protocol HTTPS.
El protocol HTTPS és un element de classificació a Google que li proporciona a un lloc web la distinció de "cinc estrelles". Per exemple, una pàgina amb SSL podria interpretar-se com un portal segur, ràpid i amb capacitat de resposta mòbil.
No obstant això, que un lloc web compti amb un certificat SSL no vol dir que el portal sigui completament segur per als visitants. T'expliquem per què.
En un context físic, podríem dir que el certificat actua com un vigilant de seguretat situat a l'entrada d'una botiga. Normalment, aquest guàrdia és capaç d'aturar moltes amenaces a la porta, però per desgràcia, no podrà brindar protecció a el lloc si algun visitant amb males intencions troba una altra via per accedir-hi.
És precisament en aquest punt on la decisió de integrar HSTS a un certificat de seguretat no seria per gust. I és que el paper de Strict Transport Security en aquest cas, seria obligar tothom a accedir a la botiga per una sola entrada.
Què és HSTS?
Es tracta d'una política de seguretat que li permet als diferents llocs web denominar-se com un espai navegable mitjançant connexions segures (HTTPS). L'estàndard HSTS protegeix tant a portals web com a usuaris davant d'una possible degradació de el protocol i d'atacs cibernètics per segrestar cookies.
Per tant, si una pàgina web implementa una política HSTS, el navegador automàticament haurà de denegar les connexions HTTP i impedir que els usuaris aprovin certificats SSL insegurs.
Comptat i debatut paraules; l'objectiu d'aquesta política de seguretat és evitar atacs d'intermediaris que utilitzen SSL.
Avui dia es pot integrar HSTS a un certificat de seguretat sense problemes perquè és compatible amb gairebé tots els navegadors que coneixem.
Per què hauries implementar HSTS al lloc web de la teva empresa?
Suposem que tens una botiga física, com a propietari o encarregat de l'negoci, estem segurs que mai tancaràs les portes de la botiga sense posar-li cadenat a les portes. De fet, no seria estrany que també col·loquis detectors de metalls a l'entrada per evitar que entrin visitants amb intencions d'emportar-teus productes.
En aquest sentit, les dades dels teus llocs web són tan valuosos com els productes de la botiga física, De manera que és molt important mantenir-los segurs sota cadenat.
Vols saber la veritat? Bloquejar la pàgina web de la teva empresa a vegades no és suficient perquè hi ha qui troben la manera d'accedir a el lloc mitjançant http: //. En aquest cas, HSTS exigeix de manera obligatòria als visitants i a les connexions d'aplicacions utilitzar HTTPS.
Per tant, a l' integrar HSTS a un certificat de seguretat o tenir instal·lat una capçalera Strict-Transport-Security al navegador, farà que sigui pràcticament impossible que els usuaris amb aspiracions de robar les dades del teu lloc web recopilin informació.
Claus de com funciona la política HSTS
- La política HSTS transforma cadascuna de les sol·licituds no segures en sol·licituds protegides per HTTPS. Així, la informació confidencial intercanviada entre el servidor i l'usuari estaran protegides mitjançant xifrat.
- Per instal·lar aquesta mesura és necessari comptar amb un Certificat SSL vàlid per al nom de domini i integrar una capçalera Strict-Transport-Security (encapçalat HSTS).
- Una capçalera és un fitxer que s'instal·la en el domini i li exigeix a el navegador connexions segures des de la primera connexió. Com? Transmetent que el navegador seguirà una vegada que interactuï amb el domini.
- Les normes establertes per la capçalera HSTS de garantir que en el navegador no pugui accedir a la versió no segura (HTTP) de la pàgina web en un període de temps.
conclusions
Un cop analitzat el paper de la política Strict Transport Security per mantenir assegurances les dades dels usuaris i dels servidors web, convé preguntar-se val la pena integrar HSTS a un certificat de seguretat? Sí, és clar.
Realitzar la implementació és una acció importantíssima. Amb un certificat SSL encara hi ha formes d'entrar a explorar el lloc web. Per exemple, hi ha delinqüents cibernètics que utilitzen redireccions 301 per enviar trànsit a les versions HTTPS de les seves pàgines HTTP originals.
Per tant, no instal·lar Strict Transport Security és com col·locar un enorme cadenat a la porta de la botiga, però deixar un avantatge sense assegurança ni clau. Encara que seria un error afirmar que l'estàndard HSTS blinda totalment el teu lloc web contra la intercepció de dades, no se les posarien fàcil als hackers perquè hauria de dissenyar atacs més sofisticats.
Hem arribat a la fi d'aquest post, esperem que hagi estat de molta utilitat per a comprendre la importància de implementar HSTS a un certificat SSL.
