martes, 3 de octubre de 2017

Google forzará HSTS en los TLD con los que opere

Google avisó durante la semana pasada que obligaría a los 45 TLDs bajo su control a hacer uso de HSTS, aumentando de esta manera la seguridad en todos sus dominios.

 All requests use HTTPS when HSTS is enforced


HSTS (HTTP Strict Transport Security) fuerza el uso de HTTPS en las conexiones a los servidores, un punto clave en la estrategia de cifrado web.

Esta politica de seguridad web establecida para evitar ataques que puedan interceptar comunicaciones, no solo fuerza el protocolo HTTPS en todas las conexiones -incluso si el usuario utiliza HTTP-, sino que también previene otros ataques como el secuestro de cookies o el downgrade. Segun palabras del ingeniero de Google Ben Mcllwain, el uso de HSTS a nivel de TLD permite que los dominios sean seguros por defecto. 

Google avisó que comenzaría a aplicar esta politica con los dominios pertenecientes a los TLD .foo y .dev. Por tanto, aquellos que registren con Google un TLD con HSTS implementado contarán con seguridad garantizada para su sitio web. Sólo necesitarán registrar un TLD seguro y un certificado SSL.

El uso de HSTS es importante porque inutiliza ataques como Logjam y Poodle, los cuales permiten a atacantes experimentados degradar las conexiones SSL a estados más vulnerables. Por ejemplo, Logjam permite rebajar la seguridad del grado de exportación del certificado de 2048-bit a 512-bit, permitiendo a un atacante leer tráfico supuestamente seguro en dicha conexión. Por su parte, Poodle ataca implementaciones SSLv3 y permitiendo a los atacantes recuperar en texto plano las comunicaciones de red.

Ya en agosto de 2016, Google forzó en su dominio HSTS para mantener a sus usuarios seguros incluso cuando hacian click sobre enlaces http. Esto permitió mejorar la seguridad no solo en el motor de búsqueda, sino también en servicios como Alerts, Analytics y Maps.

Fernando Díaz
fdiaz@hispasec.com

Más información:

Google to enforce HSTS on TLDs: