Base de conocimientos

1000 FAQ, 500 tutoriales y vídeos explicativos. ¡Aquí sólo hay soluciones!

Base de conocimiento Configurar o personalizar el HSTS de un sitio Web/alojamiento

Configurar o personalizar el HSTS de un sitio Web/alojamiento

Esta guía explica cómo desactivar o configurar HSTS para un sitio Web. Cuando HSTS está activado para un sitio web, el servidor indica al visitante del sitio (si su navegador es compatible) que sustituya los vínculos no seguros por vínculos seguros. Por ejemplo, http://www.exemple.com/une/page/ es sustituido automáticamente por https://www.exemple.com/une/page/

Después de activar un certificado SSL en un sitio Web, el HSTS está configurado de la siguiente forma:

max-age=16000000

Desactivar HSTS

1. con un CMS (WordPress, Joomla, etc.)

Es necesario incluir en todas las páginas generadas por el CMS la línea siguiente:

header( 'Strict-Transport-Security: max-age=0;' );

Para WordPress, se puede añadir, por ejemplo, esta directiva en el archivo functions.php de su tema:

add_action( 'send_headers', 'add_header_xua' );
function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}

Para más detalles en WordPress: https://codex.wordpress.org/Plugin_API/Action_Reference/send_headers

2. con un sitio PHP

Es necesario incluir la línea siguiente en todas las páginas php:

header( 'Strict-Transport-Security: max-age=0;' );

Para hacer eso sin tener que modificar cada página php de un sitio, es posible utilizar la directiva auto_prepend_file en el archivo .user.ini del sitio correspondiente:

auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php

... con el archivo hsts_disable.php siguiente:

header( 'Strict-Transport-Security: max-age=0;' );

3. Con un sitio con contenido estadístico (no PHP)

Es necesario incluir este header en un archivo .htaccess:

# BEGIN DISABLE HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
</IfModule>
# END DISABLE HSTS

Personalizar el HSTS

El valor por defecto puede modificarse en los archivos php de tu sitio web con la directiva siguiente:

header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );

(X es el número de segundos que se desea)

Activar HSTS para todos los subdominios alojados

includeSubDomains; se activa por defecto, y como su nombre indica va a incluir los subdominios en los "Strict Transport Security".

Cuando el visitante va a un subdominio no seguro, el navegador redirigirá al HTTPS automáticamente y provocará un error de seguridad.

Si este comportamiento no es deseado, hay que quitar este encabezado.

Borrar el caché HSTS de tu navegador

En Chrome, teclear <chrome://net-internals/#hsts
Introducir el nombre de dominio en el campo texto de la sección "Delete domain security policies"
Hacer clic en el botón Delete
Introducir el nombre de dominio en el campo texto de la sección "Query HSTS"
Hacer clic en el botón Query
La respuesta debe ser "Not found" (no encontrado)

Con Safari, comenzar por cerrar el navegador
Borrar el archivo ~/Library/Cookies/HSTS.plist
Volver a abrir Safari

Con Firefox, cierra todas las pestañas
Abrir el menú de Firefox y hacer clic en Historial / Mostrar el Historial.
Buscar la página de la que quieres eliminar las preferencias HSTS
Efectuar un clic derecho en una de las entradas que le corresponden
Seleccionar Olvidar este sitio

Enlace a esta FAQ:

Ver todas las FAQ de este producto.