Verificador de HSTS
Verifique la configuración de Seguridad de Transporte Estricto HTTP de su sitio. Compruebe la elegibilidad para la precarga y obtenga recomendaciones.
Entendiendo la Seguridad HSTS
HTTP Strict Transport Security (HSTS) es un mecanismo de política de seguridad web que ayuda a proteger los sitios contra ataques de intermediario (man-in-the-middle).
01¿Qué es HSTS?
HSTS es una cabecera de respuesta HTTP que indica a los navegadores que solo deben acceder a su sitio mediante HTTPS durante un período especificado. Una vez que un navegador recibe esta cabecera, cualquier intento de acceder al sitio vía HTTP se convertirá automáticamente a HTTPS antes de que se realice la solicitud.
Esto evita que los atacantes intercepten la solicitud HTTP inicial y redirijan a los usuarios a sitios maliciosos.
02¿Por qué es Crítico el HSTS?
Sin HSTS, aunque su sitio tenga HTTPS, los usuarios pueden ser engañados para conectarse primero vía HTTP. Los atacantes pueden aprovechar este momento para realizar ataques SSL stripping, manteniendo una conexión cifrada con su servidor mientras sirven al usuario una versión no cifrada.
Explicación de las Directivas HSTS
max-age
Especifica cuánto tiempo (en segundos) el navegador debe recordar que el sitio solo debe ser accedido vía HTTPS. Recomendado: 31536000 (1 año) o más.
includeSubDomains
Cuando está presente, la política HSTS se aplica a todos los subdominios del host. Esencial para la protección total del dominio.
preload
Indica el consentimiento para ser incluido en las listas de precarga de los navegadores. Una vez precargado, el HSTS se aplica incluso en la primera visita.
HSTS habilitado con max-age ≥1 año, includeSubDomains y directiva de precarga. Máxima protección.
HSTS habilitado pero faltan directivas clave o el max-age es demasiado corto. Protección parcial.
HSTS no habilitado o gravemente mal configurado. El sitio es vulnerable a ataques de degradación.
Por qué importa el HSTS
Previene el SSL Stripping
Los atacantes no pueden interceptar la solicitud HTTP inicial y degradar la conexión.
Protección de Cookies
Las cookies de sesión no pueden ser robadas a través de conexiones HTTP no cifradas.
Confianza del Usuario
Garantiza que los usuarios siempre vean el icono del candado indicando una conexión segura.
Beneficios de SEO
Los motores de búsqueda favorecen los sitios seguros. HSTS garantiza un acceso HTTPS constante.
Ataques que Previene el HSTS
SSL Stripping
Ataque de intermediario que degrada HTTPS a HTTP, permitiendo la interceptación del tráfico.
Secuestro de Sesión
Robo de cookies de sesión transmitidas a través de conexiones HTTP no cifradas.
Suplantación de DNS (DNS Spoofing)
Combinado con la precarga, incluso las respuestas DNS falsas no pueden forzar conexiones HTTP.
Degradación de Protocolo
Obligar a los navegadores a utilizar versiones vulnerables o débiles de protocolos TLS/SSL.
Explore Más Herramientas de Seguridad
Consulte nuestro conjunto completo de herramientas de análisis y pruebas de seguridad web.
Ver Todas las Herramientas