HSTS

Also known as: HTTP Strict Transport Security, Strict-Transport-Security

Una regla que tu sitio envía a los navegadores diciendo «conéctate siempre conmigo de forma segura», cerrando un hueco que los atacantes aprovechan para interceptar esa primera visita desprotegida.

Qué es

HSTS son las siglas de HTTP Strict Transport Security (seguridad de transporte estricta de HTTP). Es una breve instrucción que tu sitio web envía al navegador del visitante la primera vez que se conecta, diciendo: «A partir de ahora, conéctate conmigo únicamente de forma segura, nunca por una conexión desprotegida». El navegador lo recuerda y lo aplica de forma automática en cada visita posterior.

Por qué le importa a tu negocio

Aunque tu sitio tenga un certificado válido, hay un mínimo de riesgo en esa primerísima conexión, justo antes de que entre en juego la versión segura. Un atacante en la misma red puede aprovechar ese instante para desviar discretamente al visitante a una copia falsa o desprotegida de tu sitio y capturar lo que escribe.

HSTS elimina ese hueco. Una vez que el navegador conoce la regla, se niega por completo a conectarse de forma insegura: no queda ventana por la que el atacante pueda colarse. Para tus clientes es invisible; para ti es un refuerzo silencioso, de una sola vez, que protege cada visita de vuelta.

Cómo saberlo / qué hacer

Nuestro comprobador gratuito te dice si HSTS está activado en tu sitio. Si no lo está, la guía de corrección de HSTS explica cómo habilitarlo con seguridad: es un pequeño ajuste que añade quien gestiona tu web, y es gratis. (Conviene activarlo solo cuando tu sitio ya funciona por completo sobre una conexión segura, algo que cubre la guía.)

Want to fix this on your own domain? See the free guide →