Leí recientemente que HSTS puede causar problemas con el acceso al sitio. ¿Bajo qué circunstancias podría ocurrir eso y cuáles son las configuraciones HSTS seguras para implementar en mi servidor web?
Leí recientemente que HSTS puede causar problemas con el acceso al sitio. ¿Bajo qué circunstancias podría ocurrir eso y cuáles son las configuraciones HSTS seguras para implementar en mi servidor web?
Leí recientemente que HSTS puede causar problemas con el acceso al sitio.
Sí, HSTS puede bloquear a los visitantes.
Tenga en cuenta que es menos probable que haya una mala configuración de HSTS y más serio que para Pinic Key HTTP ( HPKP ) , que a menudo se confunde con. HPKP puede ser difícil de implementar porque requiere que trabajes con claves públicas, mientras que configurar HSTS es bastante sencillo.
Para resumir, lo que hace el encabezado HSTS es informar a los clientes (navegadores) que solo podrán acceder a su sitio a través de HTTPS en el futuro (por un tiempo específico) y no intentar ninguna conexión HTTP simple.
En estas situaciones, debe tener cuidado con HSTS:
No sabe cuánto tiempo soportará HTTPS en el futuro. Si envía un encabezado HSTS con un alto max-age
y vuelve a cambiar a HTTP durante ese tiempo, corre el riesgo de bloquear los visitantes anteriores. Esto se debe a que si su navegador ha visto el encabezado anteriormente, bloqueará todos los intentos de una conexión HTTP simple hasta el vencimiento.
Debe mantener algunos de acceso HTTP simple, particularmente en subdominios. Aquí debe asegurarse de no establecer el indicador includeSubDomains
del encabezado. De lo contrario, también deniega el acceso HTTP a todos los subdominios.