1000 FAQ, 500 tutoriales y vídeos explicativos. ¡Aquí sólo hay soluciones!
Gestionar HSTS de un sitio web/hosting
Esta guía explica cómo desactivar o configurar HSTS para un sitio web.
Prefacio
- cuando HSTS está habilitado para un sitio web, el servidor indica al visitante del sitio (si su navegador web es compatible) que reemplace todos los enlaces no seguros por enlaces seguros
- ejemplo:
http://www.ejemplo.com/una/pagina/se reemplaza automáticamente porhttps://www.ejemplo.com/una/pagina/ - después de habilitar un certificado SSL en un sitio web, HSTS se configura de la siguiente manera:
max-age=16000000
Desactivar HSTS
1. con un CMS (WordPress, Joomla, etc.)
Incluya la siguiente línea en todas las páginas generadas por el CMS:
header( 'Strict-Transport-Security: max-age=0;' );Para WordPress, es posible agregar esta directiva en el archivo functions.php de su tema:
add_action( 'send_headers', 'add_header_xua' );
function add_header_xua() {
header( 'Strict-Transport-Security: max-age=0;' );
}Más detalles sobre WordPress
2. con un sitio PHP
Incluya la siguiente línea en todas las páginas PHP:
header( 'Strict-Transport-Security: max-age=0;' );Para hacer esto sin tener que modificar cada página PHP de un sitio, es posible usar la directiva auto_prepend_file en el archivo .user.ini del sitio correspondiente:
auto_prepend_file=/home/clients/xxxx/web/hsts_disable.php... con el siguiente archivo hsts_disable.php:
header( 'Strict-Transport-Security: max-age=0;' );3. con un sitio de contenido estático (no PHP)
Incluya este encabezado en un archivo .htaccess:
# BEGIN DISABLE HSTS
<IfModule mod_headers.c>
Header always set Strict-Transport-Security "max-age=0; includeSubDomains;"
</IfModule>
# END DISABLE HSTSPersonalizar HSTS
El valor predeterminado se puede modificar en sus archivos PHP de su sitio web con la siguiente directiva:
header( 'Strict-Transport-Security: max-age=X; includeSubdomains; preload' );(X es el número deseado de segundos)
Activar HSTS para todos los subdominios alojados
includeSubDomains; está habilitado por defecto y, como su nombre indica, incluirá los subdominios en la "Seguridad de Transporte Estricto".
Cuando el visitante va a un subdominio no seguro, el navegador redirigirá automáticamente a HTTPS y provocará un error de seguridad.
Si este comportamiento no es deseado, se debe eliminar este encabezado.
Borrar la caché HSTS del navegador
Para hacer esto:
- en Chrome, escriba chrome://net-internals/#hsts
- ingrese el nombre de dominio en el campo de texto de la sección "Eliminar políticas de seguridad de dominio"
- haga clic en el botón Eliminar
- ingrese el nombre de dominio en el campo de texto de la sección "Consultar HSTS"
- haga clic en el botón Consultar
- la respuesta debe ser "No encontrado"
- con Safari, comience cerrando el navegador
- eliminar el archivo ~/Library/Cookies/HSTS.plist
- volver a abrir Safari
- con Firefox, cierre todas las pestañas
- abra el menú de Firefox y haga clic en Historial / Mostrar historial.
- busque la página de la que desea eliminar las preferencias HSTS
- haga clic derecho en una de las entradas correspondientes
- elija Olvidar este sitio