El problema de HTTPS es que, como todo método de seguridad en informática, no es perfecto y presenta algunos fallos de seguridad. HSTS (siglas para HTTP Strict Transport Security), protege las conexiones SSL ante diversos ataques, principalmente dos: los ataques man-in-the-middle, en los que alguien en nuestra red puede acceder a la información que transferimos al navegador, y los ataques de suplantación de identidad mediante robo de cookies, a través del cual se pueden robar sesiones iniciadas en determinados servicios web, ya que lo que hacen las cookies es almacenar la sesión del usuario en esa web.

https.jpg

HSTS evita que se revierta una conexión segura HTTPS a una HTTP, e intenta que casi todas las conexiones sean redirigidas a conexiones HTTPS. HSTS fue lanzado en 2012, y los navegadores más utilizados en la actualidad son compatibles con él, tales como Chrome o Firefox. Lo único que tienen que hacer las webs es añadir la compatibilidad en sus servicios. Esto ha sido lo que ha hecho Google con todos los servicios que están alojados en dominio de Google.com, tanto a nivel de interfaz como de API, después de meses de pruebas.

No tan extendido a pesar de su sencillez

A pesar de llevar 4 años disponible, sólo el 5% de las páginas web HTTPS utilizan HSTS, según demostró un estudio en marzo de este año. Para implementar HSTS en una página, el proceso es tan sencillo como añadir una línea de código a la configuración del servidor de la web.

Strict-Transport-Security: max-age=31536000;

Esta línea hace que el servidor obligue a los navegadores web a acceder a su contenido sólo a través de conexiones HTTPS. Con esta función, aunque el usuario escriba http, éste es redirigido automáticamente a HTTPS.

A pesar de ser tan sencillo, Google ha estado unos cuantos meses probando su funcionamiento para evitar fallos o problemas de seguridad una vez éste estuviera implantado, debido a que tiene muchos servicios, y algunos utilizan código heredado que podían generar incompatibilidades. Muchas webs que implementan HSTS no lo hacen correctamente, de tal manera que la conexión segura no se realiza, o tiene algún error de configuración.

 

Fuente: Softpedia | adslzone