HTTP Strict Transport Protocol o también conocido como HSTS es una herramienta diseñada para informar a los sitios web de que se están realizando conexiones cifradas con ellos (HTTPs), y de esta forma avisar a los navegadores para que empleen esta conexión segura. El HSTS ha sido aprobado por la IETF y parece ser que en breve será un estándar en la seguridad. La forma de funcionamiento de esta herramienta es muy simple, el servidor donde está alojada la página web envía una cabecera al navegador indicando que debe iniciar una sesión segura con dicho servidor (HTTPs) y todos los subdominios del portal. Una vez que el navegador ha recibido la orden, sólo utilizará conexiones cifradas por todo el portal y no sólo en parte del mismo.
En muchas ocasiones los portales disponen de un simple servidor web HTTP donde ponemos nuestro usuario y contraseña, para a continuación, iniciar la sesión HTTPs con dicho usuario y clave. Con HSTS, todo el tráfico irá cifrado desde el principio de la conexión.
De esta forma, este nuevo protocolo evita que si nos están haciendo un ataque Man In The Middle, el atacante no pueda recopilar información sensible como las cookies antes de usar HTTPs para transmitir. Así podremos evitar por ejemplo a FireSheep del que ya os hablamos aquí o DroidSheep.
Este protocolo no es nuevo, de hecho PayPal ya lo ha implementado desde hace bastante tiempo. Los navegadores que soportan esta característica con Google Chrome, Mozilla Firefox y Opera, están fuera (al menos de momento) Internet Explorer y Safari.
Os recomendamos visitar nuestro tutorial sobre qué es HTTP/3 y funcionamiento.