ServerRecords

Ayuda y Resolución de problemas

HSTS

Qué es esto

La cabecera Strict-Transport-Security le dice a los navegadores que solo contacten con tu sitio por HTTPS durante max-age segundos, eliminando la breve ventana desprotegida de las peticiones http:// que los atacantes pueden explotar.

Cómo interpretar tu resultado

Sano: la cabecera presente en las respuestas HTTPS con un max-age de al menos un año (31536000), idealmente con includeSubDomains. La cabecera en las respuestas HTTP es ignorada por los navegadores: debe servirse sobre HTTPS.

Problemas comunes y cómo solucionarlos

No hay cabecera HSTS

Cómo se manifiesta: Cada primera visita y cada URL http:// escrita a mano genera una petición desprotegida que un atacante de red puede interceptar y mantener en HTTP plano.

Cómo solucionarlo: Agrega Strict-Transport-Security: max-age=31536000; includeSubDomains en el servidor web o el CDN. Empieza con un max-age más corto (por ejemplo, 86400) si no tienes la certeza de que todos los subdominios sirvan HTTPS, y luego súbelo.

max-age demasiado corto

Cómo se manifiesta: Los escáneres puntúan el sitio a la baja; la protección caduca para los visitantes poco frecuentes.

Cómo solucionarlo: Sube max-age a al menos 31536000 (un año) una vez que HTTPS sea estable en todo lo que cubre la política.

includeSubDomains rompió un subdominio solo con HTTP

Cómo se manifiesta: Algún subdominio interno o heredado quedó inaccesible para cualquiera que visitara el sitio principal: los navegadores le fuerzan HTTPS.

Cómo solucionarlo: O sirves ese subdominio por HTTPS (lo mejor) o eliminas includeSubDomains y esperas a que expiren las políticas en caché, lo cual tarda tanto como el max-age antiguo. Por esto includeSubDomains merece una auditoría primero.

Ejecutar una consulta para este registro