En breve se establecerá como estándar (a día de hoy es una propuesta) el nuevo protocolo HSTS (HTTP Strict Transport Security protocol), se trata como su propio nombre indica, de un nuevo protocolo de acceso a los contenidos en la web que se unirá a los ya existente HTTP y HTTPS, poniendo especial énfasis en la seguridad.
El acceso a una página web utilizando el protocolo HTTPS (versión segura de HTTP) nos garantiza que se utilizan certificados para autentificar la identidad del servidor y comunicaciones TLS para garantizar la encriptación de los datos. No obstante existía la posibilidad de incluir enlaces no seguros ( de tipo HTTP), los cuales podían dar una falsa sensación de seguridad al usuario al estar en una página previamente autentificada con certificados.
El protocolo HSTS viene a rellenar este hueco: cuando accedamos a una página bajo este protocolo, no se podrá acceder desde su contenido a enlaces que no sean seguros, es decir no se podrán incluir enlaces de tipo HTTP. En el caso de incluirlos, sus URLs se convertirán directamente a HTTPS y en el caso de que estas URL no soporten el estándar de seguridad, por ejemplo porque su certificado no está avalado por una autoridad certificadora reconocida, se mostrará un aviso al usuario sin acceder a su contenido.
Dos son los casos más habituales que se resolverán con este protocolo:
- El caso de páginas seguras pero que incluían contenido de terceros y por tanto se podían introducir enlaces inseguros.
- Las páginas que utilizaban un página de login insegura (usando HTTP) para una vez logado el usuario pasar a una conexión segura (HTTPS). Si usan HSTS , tendrán que utilizar un contexto seguro desde el principio.
Esperemos que este protocolo llegue a mejorar la seguridad de la red.
