¿Es necesario el encabezado Strict-Transport-Security cuando se configura HTTPS? [duplicar]

Navega tus respuestas
3

Los datos de mi sitio web se transfieren a través de HTTPS. Hasta donde entiendo esto, hay un certificado emitido por CA que es proporcionado por el servidor para cada cliente, el cliente y el servidor deciden cómo cifrar y descifrar la información que se está intercambiando y desde este punto y en la comunicación solo de esta manera. Esto es básico HTTPS.

Ahora no entiendo dónde encaja aquí el encabezado Strict-Transport-Security. Cuando el servidor lo envía en respuesta, el navegador realizará la comunicación solo a través de HTTPS. Y en caso de que algunas URL aún sean HTTP, las transformará automáticamente a HTTPS.

Aquí está la pregunta: si hemos configurado HTTPS como lo he descrito en el primer párrafo, ¿sigue siendo necesario enviar el encabezado Strict-Transport-Security con la respuesta del servidor? Si es así, ¿para qué sirve?

    
pregunta Olena Horal 28.12.2016 - 14:18
fuente

2 respuestas

8

Lo referiré a esto: enlace

Básicamente, HSTS le dice al navegador que nunca se comunique con el servidor sin HTTPS. De esta manera, estás cubriendo ambas líneas de comunicación.

Extracto :

  

HSTS le dice al navegador: nunca use HTTP con este sitio. Solo accede   a través de HTTPS. Por lo tanto, para habilitar HSTS, debe asegurarse de que su sitio funcione   con HTTPS, y solo HTTPS. Esto incluye todo: HTML, CSS,   Javascript, todo. Asegúrese de que todos los CSS y Javascript en   su sitio está disponible a través de HTTPS. Además, te sugiero que te conviertas   sus páginas para hacer referencia a todo sobre HTTPS (recomiendo sus páginas   Evite cargar cualquier otro recurso de Javascript o CSS sobre HTTP, ya que   puede causar advertencias o problemas de seguridad para algunos navegadores).

¿Es necesario? Eso depende de usted decidir. ¿Se recomienda? Sí.

    
respondido por el thel3l 28.12.2016 - 14:29
fuente
7

HSTS es la única protección contra SSLStrip.

Así que sí, si necesita usar https, entonces necesita usar HSTS.

    
respondido por el Tom 28.12.2016 - 15:49
fuente

Lea otras preguntas en las etiquetas

¿Cómo decodificar este escáner de exploits? ¿Cómo le daría una clave de cifrado a una sola persona?