Configurar o personalizar el HSTS de un sitio Web/alojamiento

Esta guía explica cómo desactivar o configurar HSTS para un sitio Web. Cuando HSTS está activado para un sitio web, el servidor indica al visitante del sitio (si su navegador es compatible) que sustituya los vínculos no seguros por vínculos seguros. Por ejemplo, http://www.exemple.com/une/page/ es sustituido automáticamente por https://www.exemple.com/une/page/

Después de activar un certificado SSL en un sitio Web, el HSTS está configurado de la siguiente forma:

Desactivar HSTS

1. con un CMS (WordPress, Joomla, etc.)

Es necesario incluir en todas las páginas generadas por el CMS la línea siguiente:

header( 'Strict-Transport-Security: max-age=0;' );

Para WordPress, se puede añadir, por ejemplo, esta directiva en el archivo functions.php de su tema:

Para más detalles en WordPress: https://codex.wordpress.org/Plugin_API/Action_Reference/send_headers

2. con un sitio PHP

Es necesario incluir la línea siguiente en todas las páginas php:

header( 'Strict-Transport-Security: max-age=0;' );

Para hacer eso sin tener que modificar cada página php de un sitio, es posible utilizar la directiva auto_prepend_file en el archivo .user.ini del sitio correspondiente:

auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php

... con el archivo hsts_disable.php siguiente:

header( 'Strict-Transport-Security: max-age=0;' );

3. Con un sitio con contenido estadístico (no PHP)

Es necesario incluir este header en un archivo .htaccess:

# BEGIN DISABLE HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
</IfModule>
# END DISABLE HSTS

Personalizar el HSTS

Activar HSTS para todos los subdominios alojados

includeSubDomains; se activa por defecto, y como su nombre indica va a incluir los subdominios en los "Strict Transport Security".

Cuando el visitante va a un subdominio no seguro, el navegador redirigirá al HTTPS automáticamente y provocará un error de seguridad.

Si este comportamiento no es deseado, hay que quitar este encabezado.

Borrar el caché HSTS de tu navegador

1. En Chrome,  teclear <chrome://net-internals/#hsts
2. Introducir el nombre de dominio en el campo texto de la sección "Delete domain security policies"
3. Hacer clic en el botón Delete
4. Introducir el nombre de dominio en el campo texto de la sección "Query HSTS"
5. Hacer clic en el botón Query
6. La respuesta debe ser "Not found" (no encontrado)

1. Con Safari, comenzar por cerrar el navegador
2. Borrar el archivo ~/Library/Cookies/HSTS.plist
3. Volver a abrir Safari

1. Con Firefox, cierra todas las pestañas
2. Abrir el menú de Firefox y hacer clic en Historial / Mostrar el Historial.
3. Buscar la página de la que quieres eliminar las preferencias HSTS
4. Efectuar un clic derecho en una de las entradas que le corresponden
5. Seleccionar Olvidar este sitio