Desde este fin de semana, Google ha habilitado por
defecto el uso del protocolo HSTS en todas las conexiones HTTPS a su dominio
principal google.com de manera que los usuarios que se conecten al buscador a
través de él verán su seguridad mejorada frente a los ataques de red que hemos
mencionado a continuación.
Según los ingenieros de Google, implementar HSTS en un servidor normal es una tarea bastante sencilla y que aporta mucha seguridad para los usuarios, sin embargo, debido a la complejidad de toda la infraestructura de Google, han tenido que trabajar muchos más aspectos en sus servidores y dominios que la mayoría de los administradores web no tendrán que hacer, por ejemplo, habilitar el acceso al contenido mixto y redirigir a los usuarios a las webs HTTP en caso de que las conexiones HTTPS o HSFS no se establezcan correctamente.
Aunque las conexiones HSFS llevan implementadas en Google
desde diciembre del año pasado, estas no estaban habilitadas, y es que durante
estos últimos 8 meses la compañía ha tenido que asegurarse de que, a pesar de
la implementación de este protocolo, ningún dominio de la compañía dejara de
funcionar.
En las próximas semanas, la compañía tiene pensado habilitar el protocolo de seguridad en el resto de dominios de manera que todos los usuarios de todo el mundo puedan verse beneficiados por esta medida de seguridad.
El 95% de las páginas con HTTPS no
usan HSTS
- Según un reciente estudio, más del 95% de las páginas web, en teoría seguras, que ofrecen a los usuarios conexiones a través del protocolo HTTPS no implementan HSTS o, de hacerlo, tienen fallos en la configuración que impide su uso adecuado. Este estudio demuestra que, además, una de cada 20 conexiones HTTPS es insegura debido a problemas de configuración e implementación de los protocolos de seguridad.
- La semana pasada hemos hablado de dos nuevas técnicas de ataque para conexiones HTTPS, una de las cuales permitía obtener la URL completa de un paquete HTTPS (con su token de sesión) y la otra, conocida como HEIST, comprometer y descifrar por completo el tráfico HTTPS, por lo que, debido a estas brechas de seguridad en el protocolo HTTPS, es necesario que el mayor número de páginas web implementen la capa HSTS para que los usuarios que necesiten proteger sus conexiones puedan hacerlo de la mejor forma posible.
