Supongo que entiendes los beneficios de HTTPS sobre HTTP.
HSTS proporciona un medio para indicar a los clientes que siempre usen HTTPS cuando interactúan con un sitio.
Hay 2 formas en que un cliente puede averiguar si solo debe usar HTTPS para acceder a un sitio web. Puede consultar un registro del sitio ( preload ) o puede visitar el sitio (a través de HTTP o HTTPS) y recibir un encabezado anunciando el uso del sitio. HSTS. Una vez que el cliente haya visto que el sitio utiliza HSTS, debe recordar esto durante un período de tiempo (el encabezado especifica un TTL, pero el cliente puede eliminar la información antes de que este TTL caduque, como cualquier caché).
Una vez que un cliente compatible con HSTS sabe que un sitio está sujeto a HSTS, cambiará automáticamente cualquier solicitud que haga a ese sitio de HTTP a HTTPS. A pesar de lo que dice en el sitio de OWASP, esto no es una redirección, eso es algo muy diferente en HTTP, ni es un proxy; la URL se cambia en el cliente antes de ser entregada al despachador de solicitudes. Dependiendo de la implementación, esto puede aparecer como una redirección a las capas lógicas más altas del cliente, pero no se ha enviado ninguna solicitud en esta etapa de procesamiento.
Si su navegador sabe que su tienda en línea favorita utiliza HSTS y un MITM puede presentar un enlace HTTP a ese sitio en el que hace clic, su navegador actualiza automáticamente el protocolo, evitando la mayoría de las cosas malas que podrían suceder en la ausencia de SSL: es decir, el MITM lee su contraseña, modifica el contenido enviado desde el servidor o inyecta solicitudes falsas utilizando sus credenciales.
El uso de precarga proporciona la implementación más segura, pero incluso en la respuesta del encabezado, ya que su cliente recuerda el estado, el HSTS sigue siendo efectivo.
Sin HSTS, los navegadores permiten a los usuarios ignorar el error del certificado y continuar si desean acceder al sitio web.
Si se establece HSTS, esto implica que los navegadores ni siquiera deberían dar a los usuarios la opción de ignorar el error y continuar.
HSTS de una manera muy simple.
Suponga que escribió enlace en la barra de direcciones, pero el servidor web usa TLS y está configurado para redirigir al cliente a enlace . Ahora todo esto sucede de una manera insegura , lo que significa que es vulnerable a los ataques MITM (Man In The Middle).
Así que el HSTS viene a rescatar. El cliente se redirige a sí mismo internamente a enlace . Ahora, no tiene que ir al servidor primero y luego redirigir, todo sucede en el lado del cliente internamente. Esto evita los ataques MITM.
Lea otras preguntas en las etiquetas hsts