Se ha aprobado y publicado como estándar HSTS, una política y mecanismo de seguridad web que promete hacer los sitios web HTTPS más resistentes a varios tipos de ataque. Video explicativo de OWASP.

HTTP Strict Transport Security (HSTS) permite a los sitios web declararse accesible sólo a través de HTTPS (HTTP Seguro) y fue diseñado para evitar que los atacantes puedan crear conexiones a través de HTTP o de abusar de los errores en las implementaciones de HTTPS, lo cual pone en peligro la integridad del contenido.

Internet Engineering Task Force (IETF), el organismo encargado de desarrollar y promover estándares de Internet, publicó la especificación HSTS como documento oficial de las normas, RFC 6797. El grupo de trabajo de IETF había estado trabajando en este protocolo desde 2010, cuando fue presentado por primera vez, como un proyecto de Jeff Hodges de PayPal, Collin Jackson, de la Universidad Carnegie Mellon y Adam Barth de Google.

HSTS evita el uso de contenido mixto (HTTP y HTTPS) que puede afectar la seguridad e integridad de los sitios web HTTPS. El contenido mixto se carga cuando algunos scripts u otros recursos incrustados en una página web habilitada para HTTPS se cargan desde una ubicación de terceros a través de una conexión insegura HTTP. Esto puede ser el resultado de un error de desarrollo o puede ser intencional.

Cuando el navegador carga el recurso inseguro que hace una solicitud a través de HTTP plano, podría enviar una cookie de sesión del usuario, un atacante puede interceptar la petición usando técnicas de sniffing y puede utilizar la cookie para secuestrar la cuenta del usuario.


El mecanismo HSTS también previene los ataques de Man-in-the-Middle, donde el atacante está en posición de interceptar la conexión del usuario y puede forzar al navegador para acceder a la versión HTTP del sitio en lugar de HTTPS. Esta técnica es conocida SSL stripping, y hay herramientas disponibles para automatizarlo.

Cuando el navegador se conecta a través de HTTPS a un sitio web que implementa HSTS, el sitio tiene una política estricta y el navegador "se negará" a iniciar conexiones no seguras a ese sitio web.

La política HSTS se transmite a través de un campo en el encabezado HTTP de respuesta llamado "Strict-Transport-Security".

Código:
 
Strict-Transport-Security: max-age=15768000
Strict-Transport-Security: max-age=15768000 ; includeSubDomains

HSTS es una de las mejores cosas que le han sucedido a SSL, ya que soluciona algunos de los errores cometidos en el diseño del protocolo original hace 18 años. HSTS no se basa en advertencias del certificado digital sino que si se detecta un problema con la implementación de HTTPS, el navegador simplemente rechaza la conexión y no se ofrecen a los usuarios la oportunidad de anular la decisión.

Como corolario, HTTPS Now permite a los usuarios contribuir con información acerca de cómo los sitios webs utilizan HTTPS y HSTS.


Enlaces:
HTTP Strict Transport Security becomes Internet standard
HTTP Strict Transport Security - Wikipedia, the free encyclopedia
http://blog.segu-info.com.ar/2012/11/aprobado-como-standar-http-strict.html