HSTS: el mecanismo de seguridad que hará tu Web más segura y reforzará tu SEO

Conoce qué es el encabezado HSTS, el protocolo de seguridad que le permitirá a tus usuarios navegar de forma segura y te ayudará a potenciar tu SEO.

El mecanismo de seguridad HSTS es importante para garantizar la privacidad de los usuarios cuando navegan en tu web. ¡Con él estarás blindado de cualquier ataque informático! Además, aumentará la velocidad de tu página y será un gran aliado para el SEO. ¿Quieres saber de qué trata y cómo funciona? ¡Te lo cuento!

Algunas personas dan por sentado que nadie puede entrar ilegalmente a su página web, o que no lo intentarán por no tratarse de la web de una gran empresa, pero no tienen idea de cuantos sistemas de pirateo de páginas web andan por allí atacando páginas web aleatorias.

No pensar que se puede ser blanco de esto, sería ser muy ilusos. ¡Afortunadamente, hay una forma de desviar estos dardos! Pues existe un encabezado de seguridad llamado HSTS con el que se puede agregar mayor seguridad a una página, de manera que cuando alguien ingrese a ella el servidor y el buscador sean capaces de determinar si la conexión es segura y confiable. De lo contrario, no se permitirá el acceso.

Este tipo de protocolo de seguridad disminuye la vulnerabilidad de una página y es capaz de ayudarte a mejorar tu posicionamiento web SEO en Google.

Por lo tanto, será un buen aliado para que tu negocio crezca de manera segura y logres una mejor clasificación en los buscadores.

¿Te atreves a activar el mecanismo HSTS  en tu negocio? En este artículo te explicaré de forma sencilla de qué trata y cómo funciona. Pero no estás solo; si lo deseas desde Xplora podemos ayudarte con el mantenimiento y actualización de tu página web y configurar el protocolo HSTS en ella para que tus usuarios naveguen sin preocuparse por el ‘phishing’ u otros ataques que azota las páginas web.

¿Qué es el encabezado HTTPS?

No se puede hablar de HSTS sin dar un paseo por HTTPS (Hyper Text Transfer Protocol Secure o protocolo de transferencia de hipertexto seguro), la versión segura de HTTP (el lenguaje básico con el que se intercambia información entre los servidores).

Cuando se creó HTTPS, este protocolo buscaba agregar mayor seguridad a una página al momento de ser navegada para evitar que los intrusos pudieran entrar a ella, pero desafortunadamente el protocolo tenía errores y no era 100% blindado contra hackers, así que se tuvo que diseñar uno nuevo, más avanzado y eficiente, y así apareció el HSTS.

HSTS o HTTP Strict Transport Security (HTTP con seguridad de transporte estricta) es un encabezado de máxima seguridad que sólo le permitirá al navegador localizar un dominio específico si lo hace a través de HTTPS.

Es decir, el servidor está exigiendo que, para que un navegador pueda recibir información suya, éste deberá acceder mediante una HTTP segura (HTTPS); de no ser así, el servidor considerará la conexión como insegura o peligrosa, y rechazará la petición de conexión. Las cabeceras HSTS estarán vigentes por un periodo de tiempo limitado.

Con HSTS el servidor exige que toda petición de conexión a la web sea siempre desde HTTPS (protocolo HTTP seguro), de lo contrario rechazará dicha petición.

Es bien conocido que HTTPS y los certificados de confianza conocidos como SSL /TLS cuentan con un cifrado ‘seguro’, lo que se supone evita ataques cibernéticos, ¡pero a las pruebas me remito! Ha habido grandes estafas a través de sitios falsos que han violado esta seguridad para sacarle dinero a la gente. Para evitar estos dolores de cabeza llamados phishing,  y ataques del tipo ‘man-in-the-middle’, se necesita implementar cuanto antes HSTS. Por cierto, ¿deseas arreglar y limpiar tu WordPress de virus y malware?

¿Cómo HSTS puede aumentar la seguridad de un sitio web?

Para explicarlo de manera sencilla te diré que el tiempo que necesita un hacker o pirata informático para entrar a una web y atacar la seguridad de ésta es mínimo. Lo logran conectándose a la web vía HTTP de forma no segura, y que tiene redirecciones 301 hacia la versión segura HTTPS.

Como el navegador web no es adivino, no puede saber con antelación sí una web tiene versión HTTPS o HTTP no segura, por lo que de inicio intenta conectarse a la web de manera no segura (HTTP) y luego el servidor web le redirige hacia HTTPS.

Durante estos segundos en que el navegador es redirigido, el hacker altera el certificado SSL de la página, unido a otras acciones, para acabar teniendo acceso a todo cuando quiera de la web.

¡ Con el sistema HSTS no se deja tiempo a los ladrones! Este mecanismo no es más que un encabezado con información específica y estricta donde se le explica al navegador que siempre deberá conectar el sitio mediante HTTPS sí o sí, desde el inicio.

¿Cómo HSTS mejora el SEO y la velocidad de carga de una web?

Estamos en la época donde todos queremos que las páginas web que visitamos carguen en pocas milésimas de segundo. No tenemos ni el tiempo ni la paciencia para esperar más de unos muy pocos segundos en que aparezca la web totalmente cargada.

Y es aquí donde HSTS resulta ser un gran aliado para nuestra empresa, ya que no sólo reviste tu web con una capa más de seguridad, sino que aumenta su velocidad de carga.

El sistema HSTS no le hace perder tiempo al navegador enviándolo de la versión HTTP y a la HTTPS segura.

Y como quizás ya conozcas, las estadísticas revelan que las webs que cuentan con una velocidad de carga óptima, entre otras cosas, ganan mayor tráfico, consiguen más visitas y conversiones a través de los dispositivos móviles y, por lo tanto, consiguen una mayor clasificación con Google, pues le está arrojando señales de que es un sitio confiable y comprometido con su público.

¿Qué hay que hacer para implementar HSTS?

Para explicarlo de manera resumida, te puedo decir que implementar HSTS en un sitio es tan fácil como habilitar el encabezado HSTS y verificar que realmente este haya sido precargado, pero a continuación te dejaré un paso a paso corto y sencillo para que puedas hacerlo.

Establece la configuración

Para poder habilitar HSTS, o por lo menos empezar a hacerlo, lo primero será escoger el tipo de configuración que prefieras. La importancia de la configuración radica en que tu web deberá figurar en la ‘lista de precarga’ de Google, una lista que también usan los demás navegadores, para poder tener el encabezado HSTS.

Básicamente, son tres tipos de configuración; la primera, es la versión más simple y menos segura, y no te permite estar en la lista de precarga. La segunda, te brinda seguridad moderada y se diferencia de la primera en que incluye todos los subdominios de tu web como HSTS, pero tampoco es lo suficientemente segura como para ser admitida en la lista de precarga. Por último, está la más avanzada y recomendada; esta incluye todos los subdominios de la página y pasa los estándares de seguridad e Google, por lo que puede ser aceptada en la lista de precarga. ¡Esta es la configuración que debes escoger!

Variables

Además de la configuración, debes conocer las variables que intervendrán en el proceso, pues con ellas se crea el famoso encabezado de seguridad del que venimos hablando; te explico cuáles son:

• Encabezado o Strict-Transpot-Security, donde se declara que el sitio web está utilizando HSTS.
• Máximo de edad o Max-Age, el tiempo que durará activo el encabezado; se define en segundos y, normalmente, no excede los 31536000 segundos (un año). Aunque puede configurarse hasta para 2 años.
• Incluye los subdominios (IncludeSubDomanins), esto garantiza que todos los subdominios e la web serán tratados como HSTS.
• Precarga, autoriza al navegador a incluir la web como HSTS en su lista de precarga.

Añadir el encabezado HSTS

Habilitar HSTS con .htaccess

Los archivos .htaccess son herramientas de gran ayuda para configurar una web, pues con estos se logra determinar cómo responderá el servidor cuando aparezcan los errores de conexión y también ayudan a mejorar la velocidad de carga de la página; por esto, es favorable que decidas hacer uso de .htaccesspara habilitar el encabezado HSTS, aunque existen otras formas, como NGNIX o Litespeed, por citar algunas.

La forma correcta de utilizar .htaccess es agregando el siguiente código al principio del documento:

<IfModule mod_headers.c>
Header set Strict-Transport-Security «max-age=10886400; includeSubDomains; preload»
</IfModule>

Este encabezado es completo, seguro y está diseñado para que se incluya en la lista de precarga de Google sin inconvenientes.

¿Qué debo hacer para que me incluyan en la lista de precarga de HSTS?

Esta pregunta debes hacértela, sin duda alguna, pues mucho te he dicho acerca de ser incluido en la famosa lista de precarga, pero ¿cómo se logra esto? Te lo voy a resumir en tres pasos.

Cumple  con los requerimientos

Después de seguir los pasos que te he dejado para habilitar HSTS utilizando .htaccess, deberás demostrar que tu web contiene lo siguiente:

• Certificado válido, el cual se obtiene al configurar tu página para que funcione con HTTPS
• Que tengas el encabezado HSTS en el dominio base tu web
• Que tu página sólo reciba tráfico mediante HTTPS y no desde HTTP
• Que todos los subdominios de la web estén configurados para HSTS
• Que hayas especificado el Max-Age en el encabezado y que este sea válido para al menos 4 meses y medio (18 semanas).
• Si hay redirecciones en la página, éstas deben contener también el encabezado HSTS
• El encabezado debe especificar que los subdominios están incluidos en la nueva configuración HSTS, así como la precarga.

Ingresa tu dominio en la lista de precarga

Debes manifestar tu deseo de ser incluido en la lista de precarga de HSTS, y para ello sólo basta con ir a la web de APPSPOT e introducir la dirección de tu web y hacer clic en la casilla llamada ‘Compruebe el estado de precarga de HSTS’ para que compruebes si cumples con todos los requisitos listados arriba; de no ser así, podrás conocer qué errores presenta tu página para que los soluciones.

Por último, ¡espera!

Una vez que cumplas con los requisitos exigidos por la lista de precarga, tu nombre de dominio será aceptado, pero deberás tener paciencia, pues aparecerás en la lista de manera formal pasadas algunas semanas, o hasta meses. Cuando finalmente seas aceptado podrás revisar, desde las últimas versiones de Google Chrome y Firefox, y confirmar que ¡enhorabuena, por fin tu web pasa a estar en modo HSTS!

Conclusión: HSTS mejora el SEO y ofrece más seguridad a los usuarios

Si estás informado de las novedades de Google, sabrás que el buscador estrella de internet se está esmerando mucho por tener usuarios satisfechos, al punto, en que sus exigencias más recientes apuntan a que toda web que quiera figurar en los primeros lugares de la SERP deberá poner al usuario como prioridad, y eso implica que el usuario navegue de forma segura.

HSTS no sólo protegerá la página web y información de tu negocio, sino que ayuda a ganar la confianza de los usuarios con tu página web y recorta el tiempo de carga de la web, haciéndola más eficiente y ayudándote a potenciar tu SEO en muchos aspectos.

Hoy día, las agencias de SEO y posicionamiento web tenemos claro en que la seguridad es importante a la hora de conseguir una buena clasificación, por lo que el modo HSTS es una de las claves para optimizar correctamente la web a nivel de SEO.

Por último déjame recordarte que, si hablamos de mejorar la seguridad de tu negocio en Internet, no debes olvidarte también de proteger tus emails de ataques y piratas mediante los registros SPF, DKIM y DMARC, ¡que no te pille el Spoofing (suplantación de identidad) ni el Phishing (obtención de información personal para estafas)!

Y ya por último, si seguimos hablando de seguridad, es clave actualizar PHP en el servidor web, cada vez que aparezca una nueva versión porque, a parte de las importantes mejoras en velocidad y rendimiento que esto supone, refuerza mucho la seguridad de la web y el servidor de alojamiento frente a todo tipo de ataques.

Te invito a compartir este artículo con tus amigos, pues así podrás ayudarle a estar al día con la seguridad de su web. Si tienes dudas o comentarios, puedes dejarlos en el formulario que hallarás abajo. ¡Será un gusto poder ayudarte!