HTTPS

Dado que los administradores de servidores no logran configurar exitosamente las conexiones HTTPS, una gran cantidad del tráfico HTTPS puede ser atacado hoy en día a través de métodos sencillos.

El HSTS (HTTP Strict Transport Security) es la política de seguridad web integrada en la mayoría de los navegadores actuales. HSTS ayuda a lo webmasters a proteger sus servicios y a los usuarios contra ataques de tipo man-in-the-middle, inyección de cookies y otros para las conexiones HTTPS.

Una de cada veinte conexiones HTTPS están en peligro

Según un reciente estudio de Netcraft, el 95% de todos los servidores que ejecutan HTTPS en la actualidad no logran implementar correctamente la política HSTS, o traen errores de configuración que abren las conexiones a diversos escenarios de ataques.

Lo más interesante es que Netcraft ha estado ejecutando el mismo escaneo durante los últimos tres años, y el uso apropiado del HSTS siguió conservando los mismos niveles.

Esto demuestra que los webmasters no están aprendiendo o nadie les informa que han configurado el HSTS de una forma incorrecta.

El escenario de ataque más simple contra estos portales inseguros es tratando de obligar unas conexiones HTTPS a no usar ningún cifrado, o insertando un certificado más débil que pueda ser atacado más adelante.

Según los investigadores de seguridad, entre este 95% de sitios web que no configuraron apropiadamente sus certificados HTTPS se encuentran sitios web de bancos o que manejan operaciones financieras.

El HSTS se puede activar agregando una línea de código en la configuración del servidor

Lo más impresionante es que la implementación de HSTS se realiza añadiendo una sola línea de código en la configuración del servidor.

Strict-Transport-Security: max-age=31536000;

Esta línea indica a los navegadores que deben accede a los contenidos sólo mediante conexiones HTTPS. Cuando este ajuste está activo, incluso si el usuario escribe http:// en la barra de direcciones el navegador cambiará automáticamente a https:// a petición del servidor.

Hackers pueden atacar con éxito el 95% de todas las conexiones HTTPS
Califica este artículo