Notas de estudio
HSTS (Strict-Transport-Security) — mi resumen
cabecera hsts · strict transport security · forzar https hsts
Qué hace la cabecera Strict-Transport-Security, el max-age y cómo verificar HSTS con un comprobador de cabeceras HTTP.
HSTS le dice al navegador «solo HTTPS para este host durante N segundos». Ayuda contra ataques tipo sslstrip en la primera visita si está configurado correctamente.
Necesitas HTTPS funcionando ANTES de activar un max-age largo. Nuestra diapositiva decía empezar pequeño como max-age=300 para pruebas.
La búsqueda «comprobar cabecera hsts» en una herramienta muestra si la cabecera está presente y los flags de preload a veces.
La lista de preload es aparte — enviar el dominio es un compromiso serio. No lo hicimos en el subdominio gratuito.
Si HSTS está activado y el certificado se rompe, los usuarios no pueden saltarse fácilmente el aviso — arregla el certificado primero, luego HSTS. Aprendido de un error en una demo.