Después de conocer qué es HSTS (HTTP Strict Transport Security) y para que sirve, ahora toca el turno a un pequeño artículo técnico que muestre como se configura y habilita el protocolo HSTS en servidores Apache y NGINX.
APACHE
Se configura el servidor APACHE, para ello abrimos el fichero de configuración httpd.conf y habilitamos el modulo de cabeceras "mod_headers.so".
# vi /etc/httpd/conf/httpd.confLoadModule headers_module modules/mod_headers.so
A continuación se añade en nuestro vhost la siguiente línea con al menos 6 meses de validez de la politica STS, tal que así:
Header add Strict-Transport-Security "max-age=15768000"
Ahora toca el turno de NGINX
NGINX
Se debe añadir en el fichero de configuración del servidor:
add_header Strict-Transport-Security max-age=15768000;Solo cabe decir, que no todos los navegadores WEB están preparado para interpretar la cabecera STS, del protocolo HSTS, los navegadores que soportan este protocolo son:
- Google Chrome desde la versión 4.0.211.0
- Mozilla Firefox desde la versión 4.x.
- Opera desde la versión 12
Puesto que una de las limitaciones que tiene HSTS es debido a la implementación en los navegadores web, se aconseja que el tiempo de validez de la obligación de conexión segura (STS Policy) sea alta.
Vía ROOT@OPENTODO#
0 comentarios:
Publicar un comentario