banner

¿Cómo habilitar HSTS en Apache y NGINX?

Después de conocer qué es HSTS (HTTP Strict Transport Security) y para que sirve, ahora toca el turno a un pequeño artículo técnico que muestre como se configura y habilita el protocolo HSTS en servidores Apache y NGINX.


APACHE

Se configura el servidor APACHE, para ello abrimos el fichero de configuración httpd.conf y habilitamos el modulo de cabeceras "mod_headers.so".


# vi /etc/httpd/conf/httpd.confLoadModule headers_module modules/mod_headers.so
A continuación se añade en nuestro vhost la siguiente línea con al menos 6 meses de validez de la politica STS, tal que así:
Header add Strict-Transport-Security "max-age=15768000"

Ahora toca el turno de NGINX

NGINX

Se debe añadir en el fichero de configuración del servidor:

add_header Strict-Transport-Security max-age=15768000;
Solo cabe decir, que no todos los navegadores WEB están preparado para interpretar la cabecera STS, del protocolo HSTS, los navegadores que soportan este protocolo son:

 - Google Chrome desde la versión 4.0.211.0
 - Mozilla Firefox desde la versión 4.x.
 - Opera desde la versión 12

Puesto que una de las limitaciones que tiene HSTS es debido a la implementación en los navegadores web, se aconseja que el tiempo de validez de la obligación de conexión segura (STS Policy) sea alta.

Vía ROOT@OPENTODO#

No hay comentarios :

Publicar un comentario