Base de conocimientos
1000 FAQ, 500 tutoriales y vídeos explicativos. ¡Aquí sólo hay soluciones!
Configurar o personalizar el HSTS de un sitio Web/alojamiento
Esta guía explica cómo desactivar o configurar HSTS para un sitio Web. Cuando HSTS está activado para un sitio web, el servidor indica al visitante del sitio (si su navegador es compatible) que sustituya los vínculos no seguros por vínculos seguros. Por ejemplo, http://www.exemple.com/une/page/ es sustituido automáticamente por https://www.exemple.com/une/page/
Después de activar un certificado SSL en un sitio Web, el HSTS está configurado de la siguiente forma:
max-age=16000000Personalizar el HSTS
El valor por defecto puede modificarse en los archivos php de su sitio web con la directiva siguiente:
header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );
(X es el número de segundos deseado)
Desactivar HSTS en un sitio que funcione con un CMS (WordPress, Joomla, etc.)
Es necesario incluir en todas las páginas generadas por el CMS la línea siguiente:
header( 'Strict-Transport-Security: max-age=0;' );
Para WordPress, se puede añadir, por ejemplo, esta directiva en el archivo functions.php de su tema:
add_action( 'send_headers', 'add_header_xua' );function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}
Para más detalles en WordPress: https://codex.wordpress.org/Plugin_API/Action_Reference/send_headers
Si no utiliza un CMS
Es necesario incluir la línea siguiente en todas las páginas php:
header( 'Strict-Transport-Security: max-age=0;' );
Para hacer eso sin tener que modificar cada página php de un sitio, es posible utilizar la directiva auto_prepend_file en el archivo .user.ini del sitio correspondiente:
auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php
... con el archivo hsts_disable.php siguiente:
header( 'Strict-Transport-Security: max-age=0;' );
Activar HSTS para todos los subdominios alojados
includeSubDomains; se activa por defecto, y como su nombre indica va a incluir los subdominios en los "Strict Transport Security".
Cuando el visitante va a un subdominio no seguro, el navegador redirigirá al HTTPS automáticamente y provocará un error de seguridad.
Si este comportamiento no es deseado, hay que quitar este encabezado.
Importante
Es indispensable "seter" este header mediante un archivo .user.ini si su sitio utiliza lenguaje PHP. Los headers definidos en un archivo .htaccess solo son válidos para el contenido no PHP (por tanto, estático)
Es una limitación debida al hecho de que utilizamos php-fpm que recibe los diferentes headers mediante apache fast_cgi y en el RFC de cgi_www el header "Strict-Transport-Security" no forma parte de los headers realizados mediante CGI y el doc de apache: httpd.apache.org/docs/2.2/howto/cgi.html lo confirma. Leer también https://www.ietf.org/rfc/rfc3875
>Borrar el caché HSTS de su navegador
- En Chrome, teclearchrome://net-internals/#hsts
- Introducir el nombre de dominio en el campo texto de la sección "Delete domain security policies"
- Hacer clic en el botón Delete
- Introducir el nombre de dominio en el campo texto de la sección "Query HSTS"
- Hacer clic en el botón Query
- La respuesta debe ser "Not found" (no encontrado)
- Con Safari, comenzar por cerrar el navegador
- Borrar el archivo ~/Library/Cookies/HSTS.plist
- Volver a abrir Safari
- Con Firefox, cierre todas las pestañas
- Abrir el menú de Firefox y hacer clic en Historial / Mostrar el Historial.
- Buscar la página de la que quieres eliminar las preferencias HSTS
- Efectuar un clic derecho en una de las entradas que le corresponden
- Seleccionar Olvidar este sitio