1000 FAQ, 500 tutoriales y vídeos explicativos. ¡Aquí sólo hay soluciones!
Administrar HSTS de un sitio web/alojamiento
Esta guía explica cómo desactivar o configurar HSTS para un sitio web.
Preámbulo
- Cuando HSTS está activado para un sitio web, el servidor indica al visitante del sitio (si su navegador web es compatible) que sustituya todos los enlaces inseguros por enlaces seguros.
- Ejemplo:
http://www.exemple.com/une/page/
se sustituye automáticamente porhttps://www.exemple.com/une/page/
. - Después de activar un certificado SSL en un sitio web, el HSTS se configurará de la siguiente manera:
max-age=16000000
.
Desactivar HSTS...
...con un CMS (WordPress, Joomla, etc.)
Incluir en todas las páginas generadas por el CMS la siguiente línea:
header( 'Strict-Transport-Security: max-age=0;' );
Para WordPress, es p.ex posible añadir esta directiva al archivo functions.php
de su tema:
add_action( 'send_headers', 'add_header_xua' );
function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}
Más detalles en WordPress
... con un sitio PHP
Incluir la siguiente línea en todas las páginas php:
header( 'Strict-Transport-Security: max-age=0;' );
Para hacer esto sin necesidad de modificar cada página php de un sitio, es posible utilizar la directiva auto_prepend_file
en el archivo .user.ini
del lugar de que se trate:
auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php
... con el archivo hsts_disable.php
Siguiente:
header( 'Strict-Transport-Security: max-age=0;' );
... con un sitio con contenido estático (no PHP)
Incluir este header en un archivo .htaccess
:
# BEGIN DISABLE HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
</IfModule>
# END DISABLE HSTS
Personalizar el HSTS
El valor predeterminado puede ser modificado en los archivos php de su sitio web con la siguiente directiva:
header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );
(X
es el número de segundos deseado).
Activar HSTS para todos los dominios alojados
includeSubDomains;
está activado por defecto y como su nombre lo indica, va a incluir los subdominios en los "Strict Transport Security."
Cuando el visitante va a un subdominio no seguro, el navegador redirigirá automáticamente al HTTPS y provocará un error de seguridad.
Si este comportamiento no es deseado, hay que quitar este encabezado.
Borrar la caché HSTS del navegador
Para ello:
- En Chrome, escribacromo://net-internals/#hsts
- Introduzca el nombre de dominio en el campo de texto de la sección "Delete domain security policies."
- Haga clic en el botón Delete.
- Introduzca el nombre de dominio en el campo de texto de la sección "Query HSTS."
- Haga clic en el botón Query.
- La respuesta debe ser "
Not found
(No se ha encontrado).
- Con Safari, primero cierre el navegador.
- Borre el archivo
~/Library/Cookies/HSTS.plist
. - Abre Safari.
- Con Firefox, cierra todas las pestañas.
- Abra el menú de Firefox y haga clic en Historia / Mostrar historia.
- Busque la página en la que desea eliminar las preferencias HSTS.
- Haga clic derecho en una de las entradas correspondientes.
- Elija Olvidar este sitio.