Cómo ver un registro de las conexiones HSTS y HPKP en Firefox

Escrito por Rubén Velasco

Para visitar ciertas páginas web, especialmente aquellas que contienen una gran cantidad de datos personales, es de vital importancia hacerlo a través de protocolos seguros, por ejemplo, HTTPS. Sin embargo, este protocolo ha demostrado ya en varias ocasiones que por sí solo no ofrece una seguridad demasiado alta y que mediante nuevas técnicas como HEIST, es muy fácil de romper su seguridad y acceder a los datos de los usuarios. Por ello, los servidores que quieran ofrecer una seguridad aún más extrema deben hacer uso de otros protocolos como HSTS y HPKP que, junto a HTTPS, nos brindan, a día de hoy, la seguridad que merecemos.

El protocolo HSTS, “HTTP Strict Transport Security“, es un sistema de seguridad adicional para las conexiones HTTPS mediante el cual un servidor web declara comunicarse con el navegador solo a través de conexiones seguras, bloqueando todo intento de conexiones inseguras generadas, por ejemplo, en un ataque MITM. Complementándolo, el protocolo HPKP ha sido diseñado para bloquear los ataques de suplantación obligando al uso de certificados seguros que han sido proporcionados por el servidor durante la primera conexión a él, bloqueando todos los demás que pueden haber sido comprometidos o ser falsos.

Los navegadores web no nos dejan consultar esta información libremente ya que carecen de las herramientas necesarias para ello, sin embargo, es posible que sí necesitemos, o queramos, hacerlo, ya que nos puede ayudar a saber si nuestras conexiones están siendo seguras o, por el contrario, pueden ser comprometidas por las nuevas debilidades que se han descubierto recientemente en las conexiones HTTPS.

Cómo ver el estado de las conexiones HSTS y HPKP en Firefox con Pin Patrol

Firefox, por defecto, no cuenta con una herramienta que nos permite consultar el estado de estas conexiones, por lo que debemos recurrir a extensiones de terceros como PinPatrol. PinPatrol es una extensión creada por la empresa española Eleven Paths que nos va a ayudar a consultar el estado de estos protocolos en las conexiones de nuestro navegador para saber si estas son seguras o pueden estar siendo comprometidas.

Para utilizar esta extensión, lo único que necesitamos es tener Firefox instalado en nuestro ordenador y descargar la extensión desde la tienda de Mozilla. Una vez descargada e instalada la extensión (no necesita reiniciar el navegador) la ejecutamos haciendo clic sobre el icono que nos aparece y, tras unos segundos de carga de la web, veremos un historial y un registro con todas estas conexiones.

PinPatrol HSTS HPKP Firefox

De esta manera podremos saber si nuestras conexiones HTTPS están siendo correctamente aseguradas o, por el contrario, algunas de ellas que pensamos que son realmente seguras podrían estar siendo comprometidas por terceros.

¿Qué opinas de PinPatrol? ¿Crees que es necesario comprobar qué webs aplican protocolos de seguridad adicionales y cuáles no?

Quizá te interese: