HSTS (HTTP Strict Transport Security) es un mecanismo de seguridad web que indica a los navegadores que solo se comuniquen con un sitio web usando HTTPS, incluso si el usuario escribe "http://" o hace clic en un enlace HTTP. Una vez que un navegador recibe una cabecera HSTS, convierte automáticamente todas las futuras solicitudes HTTP a HTTPS durante la duración especificada, previniendo ataques de degradación de protocolo.
La cabecera HSTS incluye una directiva max-age que especifica cuánto tiempo el navegador debe recordar la política de solo HTTPS, y directivas opcionales includeSubDomains y preload. La directiva preload permite que el dominio sea incluido en las listas de precarga HSTS integradas en los navegadores, proporcionando protección desde la primera visita. Los libros sobre seguridad HTTPS en Amazon cubren estrategias de despliegue.
Para los servicios de acortamiento de URL, HSTS es esencial porque asegura que todos los clics en URL cortas se manejen a través de conexiones cifradas. Sin HSTS, un atacante podría interceptar una solicitud HTTP y redirigir al usuario a un sitio malicioso antes de que ocurra la actualización a HTTPS.
Desplegar HSTS requiere una planificación cuidadosa porque los errores pueden hacer que un sitio sea inaccesible. Antes de habilitar HSTS, asegúrese de que todos los recursos estén disponibles a través de HTTPS, todos los subdominios soporten HTTPS (si se usa includeSubDomains) y el proceso de renovación de certificados sea confiable. Los libros sobre seguridad DevOps en Amazon discuten consideraciones operativas.