1000 FAQ, 500 tutoriales y vídeos explicativos. ¡Aquí sólo hay soluciones!
Configurar o personalizar el HSTS de un sitio Web/alojamiento
Esta guía explica cómo desactivar o configurar HSTS para un sitio Web. Cuando HSTS está activado para un sitio web, el servidor indica al visitante del sitio (si su navegador es compatible) que sustituya los vínculos no seguros por vínculos seguros. Por ejemplo, http://www.exemple.com/une/page/ es sustituido automáticamente por https://www.exemple.com/une/page/
Después de activar un certificado SSL en un sitio Web, el HSTS está configurado de la siguiente forma:
max-age=16000000Desactivar HSTS
1. con un CMS (WordPress, Joomla, etc.)
Es necesario incluir en todas las páginas generadas por el CMS la línea siguiente:
header( 'Strict-Transport-Security: max-age=0;' );
Para WordPress, se puede añadir, por ejemplo, esta directiva en el archivo functions.php de su tema:
add_action( 'send_headers', 'add_header_xua' );function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}
Para más detalles en WordPress: https://codex.wordpress.org/Plugin_API/Action_Reference/send_headers
2. con un sitio PHP
Es necesario incluir la línea siguiente en todas las páginas php:
header( 'Strict-Transport-Security: max-age=0;' );
Para hacer eso sin tener que modificar cada página php de un sitio, es posible utilizar la directiva auto_prepend_file en el archivo .user.ini del sitio correspondiente:
auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php
... con el archivo hsts_disable.php siguiente:
header( 'Strict-Transport-Security: max-age=0;' );
3. Con un sitio con contenido estadístico (no PHP)
Es necesario incluir este header en un archivo .htaccess:
# BEGIN DISABLE HSTS
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
# END DISABLE HSTS
Personalizar el HSTS
El valor por defecto puede modificarse en los archivos php de tu sitio web con la directiva siguiente:
header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );
(X es el número de segundos que se desea)
Activar HSTS para todos los subdominios alojados
includeSubDomains; se activa por defecto, y como su nombre indica va a incluir los subdominios en los "Strict Transport Security".
Cuando el visitante va a un subdominio no seguro, el navegador redirigirá al HTTPS automáticamente y provocará un error de seguridad.
Si este comportamiento no es deseado, hay que quitar este encabezado.