HSTS (HTTP Strict Transport Security protocol), camino de convertirse en estándar

El denominado HSTS (HTTP Strict Transport Security protocol), ha sido aprobado por la IETF (Internet Engineering Task Force) como propuesta de estándar. HSTS ha sido diseñado para que los sitios web tengan la certeza de que se están realizando únicamente conexiones seguras con ellos, informando a los navegadores que deben emplear una conexión segura.

El mecanismo funciona porque el servidor responde con un encabezado de estricta seguridad de transporte, que indica al explorador que debe conectar con él mediante el protocolo HTTPS durante un tiempo, y no sólo para esa conexión, sino para los subdominios también. Una vez que el navegador recibe ese encabezado, empleará únicamente conexiones HTTPS con ese servidor.

Algunos sitios utilizan conexiones HTTP o redirecciones para llevar a los usuarios a páginas seguras, recabando previamente datos sensibles (como nombre de usuario y contraseña), antes de entrar en el modo de conexión segura HTTPS.

HSTS reduce la posibilidad de que un atacante pueda escuchar las conexiones y recopilar cookies y otros datos que pueden intercambiarse en una sesión que comenzó siendo insegura. HSTS ya ha sido adoptado por sitios como PayPal, Blogspot, por citar algunos, del lado del servidor. Chrome, Firefox y Opera lo han implementado en el navegador. Internet Explorer y Safari aún no lo soportan. Tras la propuesta de la IETF, HSTS llegará a ser un estándar en un futuro próximo.

Vía | The H Open
Imagen | o5com