Ayuda y Resolución de problemas
HSTS
Qué es esto
La cabecera Strict-Transport-Security le dice a los navegadores que solo contacten con tu sitio por HTTPS durante max-age segundos, eliminando la breve ventana desprotegida de las peticiones http:// que los atacantes pueden explotar.
Cómo interpretar tu resultado
Sano: la cabecera presente en las respuestas HTTPS con un max-age de al menos un año (31536000), idealmente con includeSubDomains. La cabecera en las respuestas HTTP es ignorada por los navegadores: debe servirse sobre HTTPS.
Problemas comunes y cómo solucionarlos
No hay cabecera HSTS
Cómo se manifiesta: Cada primera visita y cada URL http:// escrita a mano genera una petición desprotegida que un atacante de red puede interceptar y mantener en HTTP plano.
Cómo solucionarlo: Agrega Strict-Transport-Security: max-age=31536000; includeSubDomains en el servidor web o el CDN. Empieza con un max-age más corto (por ejemplo, 86400) si no tienes la certeza de que todos los subdominios sirvan HTTPS, y luego súbelo.
max-age demasiado corto
Cómo se manifiesta: Los escáneres puntúan el sitio a la baja; la protección caduca para los visitantes poco frecuentes.
Cómo solucionarlo: Sube max-age a al menos 31536000 (un año) una vez que HTTPS sea estable en todo lo que cubre la política.
includeSubDomains rompió un subdominio solo con HTTP
Cómo se manifiesta: Algún subdominio interno o heredado quedó inaccesible para cualquiera que visitara el sitio principal: los navegadores le fuerzan HTTPS.
Cómo solucionarlo: O sirves ese subdominio por HTTPS (lo mejor) o eliminas includeSubDomains y esperas a que expiren las políticas en caché, lo cual tarda tanto como el max-age antiguo. Por esto includeSubDomains merece una auditoría primero.