¿Debo activar HSTS con Encriptar certificados?

Navega tus respuestas
21

Recientemente configuré un servidor web que, entre otros, sirve ownCloud para algunos de mis usuarios. Obtuve un certificado SSL de Let´s Encrypt porque no quería usar un certificado autofirmado como el que utiliza ownCloud de forma inmediata. Configuré Apache para reescribir todo el tráfico HTTP a HTTPS correctamente.

Ahora ownCloud me muestra un mensaje constantemente, pidiéndome que aplique HSTS (HTTP Strict Transport Security). Teniendo en cuenta que los certificados de Encrypt solo son válidos durante 90 días y que mi redirección de HTTP ya funciona, ¿debería realmente aplicar HSTS?

    
pregunta Martin Fischer 09.12.2016 - 07:51
fuente

3 respuestas

45

Sí, debe activar HSTS .

HTTPS sin HSTS es significativamente más débil ya que hace que sus usuarios sean vulnerables a ataques de degradación . El envío de un encabezado HSTS garantiza que los usuarios se conectarán directamente a su sitio web a través de SSL después de su primera visita (confianza en el primer uso) y hasta que se alcance el tiempo de espera especificado.

La opción de activar HSTS o no realmente no depende de la CA que esté utilizando, en lugar de si está seguro de que continuará admitiendo HTTPS en el futuro. Es decir, tan pronto como deshabilites HTTPS nuevamente, cualquier usuario cuyo tiempo de espera de HSTS no haya expirado aún no podrá conectarse a tu sitio. Si no está seguro de cuánto tiempo mantendrá la compatibilidad con SSL, es posible que desee comenzar con tiempos de vencimiento HSTS cortos para evitar bloquear a sus visitantes por mucho tiempo.

No confunda HSTS con HPKP : A La cabecera HTTP Public Pining indica al navegador que asocie una clave pública específica a su sitio. Aquí, la fijación de certificados erróneos o caducados puede hacer que su sitio no esté disponible para usuarios anteriores. Pero para HSTS, la cadena de certificados en particular no importa y puede cambiarlo según sea necesario.

    
respondido por el Arminius 09.12.2016 - 08:06
fuente
4

Puedes usar HSTS siempre y cuando vayas a seguir usando HTTPS en tu sitio. El certificado específico puede cambiar, pero eso es aceptable para HSTS.

Si utiliza la fijación de la clave HTTP, puede solicitar que la clave SSL provenga de una CA específica, en este caso, Vamos a cifrar, lo que puede causar problemas si cambia la CA, pero el certificado en sí mismo puede cambiar.

Si implementó un método de anclaje personalizado, que tenía en cuenta el certificado específico que se estaba utilizando, tendría problemas. Sin embargo, no es así como funcionan los encabezados estándar.

En resumen, debería estar bien si el certificado cambia regularmente, es el comportamiento esperado.

    
respondido por el Matthew 09.12.2016 - 08:23
fuente
0

Dos artículos - Asegúrese de que se está comunicando a través de HTTPS vs HTTP antes de cualquier autenticación. La nota sobre los ataques a la baja no puede ser tomada en serio. - Dependiendo de su pila de tecnología, es posible que necesite revisar más que el código; Es posible que también se deban revisar los protocolos criptográficos de red.

Hay un gran artículo escrito por la gente en Qualsys

    
respondido por el Ray Porrata 15.12.2016 - 22:04
fuente

Lea otras preguntas en las etiquetas

Ataque de bicicleta TLS - ¿Qué cifrado está libre de fallas para usar? ¿Hay alguna razón para bloquear HTTPS?