Los navegadores web seguros utilizan HTTPS, que consiste en transferir la información a través del protocolo HTTP, pero cifrada con un protocolo de seguridad como TLS o SSL. Con esto se consigue que los usuarios estén protegidos cuando envían sus credenciales a una web, y los datos se mantengan seguros cuando se transfieren por la red.
El problema de HTTPS es que, como todo método de seguridad en informática, no es perfecto y presenta algunos fallos de seguridad. HSTS (siglas para HTTP Strict Transport Security), protege las conexiones SSL ante diversos ataques, principalmente dos: los ataques man-in-the-middle, en los que alguien en nuestra red puede acceder a la información que transferimos al navegador, y los ataques de suplantación de identidad mediante robo de cookies, a través del cual se pueden robar sesiones iniciadas en determinados servicios web, ya que lo que hacen las cookies es almacenar la sesión del usuario en esa web.
HSTS evita que se revierta una conexión segura HTTPS a una HTTP, e intenta que casi todas las conexiones sean redirigidas a conexiones HTTPS. HSTS fue lanzado en 2012, y los navegadores más utilizados en la actualidad son compatibles con él, tales como Chrome o Firefox. Lo único que tienen que hacer las webs es añadir la compatibilidad en sus servicios. Esto ha sido lo que ha hecho Google con todos los servicios que están alojados en dominio de Google.com, tanto a nivel de interfaz como de API, después de meses de pruebas.
No tan extendido a pesar de su sencillez
A pesar de llevar 4 años disponible, sólo el 5% de las páginas web HTTPS utilizan HSTS, según demostró un estudio en marzo de este año. Para implementar HSTS en una página, el proceso es tan sencillo como añadir una línea de código a la configuración del servidor de la web.
Strict-Transport-Security: max-age=31536000;
Esta línea hace que el servidor obligue a los navegadores web a acceder a su contenido sólo a través de conexiones HTTPS. Con esta función, aunque el usuario escriba http, éste es redirigido automáticamente a HTTPS.
A pesar de ser tan sencillo, Google ha estado unos cuantos meses probando su funcionamiento para evitar fallos o problemas de seguridad una vez éste estuviera implantado, debido a que tiene muchos servicios, y algunos utilizan código heredado que podían generar incompatibilidades. Muchas webs que implementan HSTS no lo hacen correctamente, de tal manera que la conexión segura no se realiza, o tiene algún error de configuración.
Quizá te interese…
Las conexiones HTTPS podrían no ser tan seguras como creíamos en un principio
Así es como las páginas web pueden rastrear tu actividad en Internet