No entiendo por qué es peligroso, alguien me dijo que un atacante puede secuestrar antes de cargar la versión de HTTPS, pero que es posible.
Primero, para responder a tu pregunta:
No es que redireccionar HTTP a HTTPS es más peligroso que NOT redirigir a HTTPS. ¡La redirección de HTTP a HTTPS es de hecho extremadamente importante!
El problema es que, si alguien está accediendo a un sitio sensible a la seguridad a través de HTTP, algo ya está mal . El usuario debe utilizar HTTPS desde el principio. Por supuesto, los navegadores web no son útiles aquí, ya que están predeterminados en HTTP a menos que el usuario escriba específicamente la parte https:// antes del nombre del dominio, pero ese es un comportamiento heredado con el que básicamente tenemos que lidiar.
La solución a este problema es algo que se llama Seguridad de transporte estricta de HTTP (HSTS) . HSTS es una forma para que un sitio web le diga a un navegador "hey, este es un sitio seguro, nunca intentes conectarte a mí a través de HTTP inseguro, ¿vale?". Todos los navegadores modernos (incluido IE11, aunque no las versiones anteriores de IE) son compatibles con HSTS, lo que significa que solo usarán HTTPS para ese sitio (incluso si el usuario escribió http:// en su lugar; el navegador lo cambia a https:// antes de enviar la solicitud) .
HSTS tiene una debilidad: para que el servidor le diga al navegador que nunca use HTTP, el navegador ya debe estar conectado al servidor. La primera de esas conexiones es la más probable que se realice a través de HTTP en lugar de HTTPS (porque el usuario simplemente escribió el nombre de dominio en la barra de URL), por lo que un atacante casi siempre tiene al menos un disparo para secuestrar la conexión (más sobre eso). en un segundo). No está bien. La solución es utilizar HSTS Preloading , que es una lista integrada en todos los navegadores compatibles con HSTS de los sitios que el propietario solicitó específicamente < em> nunca ser visitado a través de HTTP; los navegadores están preconfigurados para que HSTS ya se aplique en esos sitios.
Vale la pena señalar que, para su inclusión en la lista de precarga HSTS, su sitio DEBE redirige cualquier solicitud HTTP a HTTPS. Eso debe ser lo primero que haga, de hecho, antes de hacer cualquier otra redirección o servir cualquier contenido.
La respuesta a "¿cómo es eso posible?" es un ataque inteligente llamado " eliminación de SSL " (consulte Q anterior en Security.StackExchange ). En pocas palabras, cuando el navegador se conecta a un sitio a través de HTTP, no tiene forma de saber si realmente está hablando con el servidor al que pretendía acceder, o de algún atacante que haya redirigido o interceptado la solicitud. Ese atacante (si está presente) podría establecer una conexión HTTPS con el sitio real, enviar la solicitud que recibió del usuario (solo con la conexión segura esta vez) y luego descifrar la respuesta HTTPS y enviarla al usuario A través de texto plano. En el proceso, el atacante puede grabar y también modificar las respuestas (y las solicitudes), haciendo cosas como cambiar cualquier enlace HTTPS a un enlace HTTP, para que el usuario no haga clic en algún enlace o botón y cambie a una conexión segura ( que el atacante no pudo interceptar). Si el usuario no se da cuenta de que está en HTTP en lugar de HTTPS, lo cual solo puede hacer al observar la barra de URL detenidamente; el sitio parece idéntico: el usuario podría hacer algo como iniciar sesión en el sitio, lo que le permitiría al atacante ver las credenciales del usuario. Un atacante que está haciendo esto se denomina "Man In The Middle" o MITM.
Lea otras preguntas en las etiquetas web-application