Google avisó durante la semana pasada que obligaría a los 45 TLDs bajo su control a hacer uso de HSTS, aumentando de esta manera la seguridad en todos sus dominios.
HSTS (HTTP Strict Transport Security)
fuerza el uso de HTTPS en las conexiones a los servidores, un punto clave en la
estrategia de cifrado web.
Esta politica de seguridad web
establecida para evitar ataques que puedan interceptar comunicaciones, no solo
fuerza el protocolo HTTPS en todas las conexiones -incluso si el usuario
utiliza HTTP-, sino que también previene otros ataques como el secuestro de
cookies o el downgrade. Segun palabras del ingeniero de Google Ben Mcllwain, el
uso de HSTS a nivel de TLD permite que los dominios sean seguros por defecto.
Google avisó que comenzaría a aplicar
esta politica con los dominios pertenecientes a los TLD .foo y .dev. Por tanto,
aquellos que registren con Google un TLD con HSTS implementado contarán con
seguridad garantizada para su sitio web. Sólo necesitarán registrar un TLD
seguro y un certificado SSL.
El uso de HSTS es importante porque
inutiliza ataques como Logjam y Poodle, los cuales permiten a atacantes
experimentados degradar las conexiones SSL a estados más vulnerables. Por
ejemplo, Logjam permite rebajar la seguridad del grado de exportación del
certificado de 2048-bit a 512-bit, permitiendo a un atacante leer tráfico
supuestamente seguro en dicha conexión. Por su parte, Poodle ataca
implementaciones SSLv3 y permitiendo a los atacantes recuperar en texto plano
las comunicaciones de red.
Ya en agosto de 2016, Google forzó en
su dominio HSTS para mantener a sus usuarios seguros incluso cuando hacian
click sobre enlaces http. Esto permitió mejorar la seguridad no solo en el
motor de búsqueda, sino también en servicios como Alerts, Analytics y Maps.
Más información:
- Google to
enforce HSTS on TLDs https://threatpost.com/google-to-enforce-hsts-on-tlds-it-operates/128204/