HSTS, acrónimo de «HTTP Strict Transport Security» es un protocolo de seguridad mejorado que permite a los administradores de páginas web ofrecer a sus usuarios una capa de protección adicional frente a debilidades en las conexiones HTTPS, ataques MITM y al robo de cookies en las conexiones, evitando así que ni estos usuarios ni sus propios servidores puedan verse comprometidos por piratas informáticos y los datos viajen siempre de forma segura desde el visitante al servidor en cuestión.
HSTS es considerada por los expertos de seguridad como la mejor forma de proteger las conexiones de los usuarios a través del protocolo HTTPS, sin embargo, el número de webs y plataforma que han implementado dicha capa de seguridad aún es muy reducido. Por suerte, poco a poco cada vez más compañías se suman a la lista mostrando apoyo hacia este protocolo, como es el caso de Google.
Desde este fin de semana, Google ha habilitado por defecto el uso del protocolo HSTS en todas las conexiones HTTPS a su dominio principal google.com de manera que los usuarios que se conecten al buscador a través de él verán su seguridad mejorada frente a los ataques de red que hemos mencionado a continuación.
Según los ingenieros de Google, implementar HSTS en un servidor normal es una tarea bastante sencilla y que aporta mucha seguridad para los usuarios, sin embargo, debido a la complejidad de toda la infraestructura de Google, han tenido que trabajar muchos más aspectos en sus servidores y dominios que la mayoría de los administradores web no tendrán que hacer, por ejemplo, habilitar el acceso al contenido mixto y redirigir a los usuarios a las webs HTTP en caso de que las conexiones HTTPS o HSFS no se establezcan correctamente.
Aunque las conexiones HSFS llevan implementadas en Google desde diciembre del año pasado, estas no estaban habilitadas, y es que durante estos últimos 8 meses la compañía ha tenido que asegurarse de que, a pesar de la implementación de este protocolo, ningún dominio de la compañía dejara de funcionar. En las próximas semanas, la compañía tiene pensado habilitar el protocolo de seguridad en el resto de dominios de manera que todos los usuarios de todo el mundo puedan verse beneficiados por esta medida de seguridad.
El 95% de las páginas con HTTPS no usan HSTS
Según un reciente estudio, más del 95% de las páginas web, en teoría seguras, que ofrecen a los usuarios conexiones a través del protocolo HTTPS no implementan HSTS o, de hacerlo, tienen fallos en la configuración que impide su uso adecuado. Este estudio demuestra que, además, una de cada 20 conexiones HTTPS es insegura debido a problemas de configuración e implementación de los protocolos de seguridad.
La semana pasada hemos hablado de dos nuevas técnicas de ataque para conexiones HTTPS, una de las cuales permitía obtener la URL completa de un paquete HTTPS (con su token de sesión) y la otra, conocida como HEIST, comprometer y descifrar por completo el tráfico HTTPS, por lo que, debido a estas brechas de seguridad en el protocolo HTTPS, es necesario que el mayor número de páginas web implementen la capa HSTS para que los usuarios que necesiten proteger sus conexiones puedan hacerlo de la mejor forma posible.
¿Qué opinas sobre el protocolo HSTS? ¿Crees que su implementación debería ser una prioridad?