Glosario · Seguridad

HSTS: HTTP Strict Transport Security

Una cabecera HTTP que fuerza al navegador a usar siempre HTTPS para tu dominio, incluso si el usuario escribe "http://".

Se configura como cabecera HTTP en la respuesta del servidor:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Qué hace cada parte:

  • max-age=31536000: el navegador recuerda "usar HTTPS" durante 1 año
  • includeSubDomains: aplica a todos los subdominios (www, blog, api…)
  • preload: permite incluir el dominio en la lista HSTS preload de Chrome/Firefox/Safari

Sin HSTS, un atacante que intercepte la red (WiFi público malicioso) puede servir una versión HTTP falsa antes de que el navegador redireccione a HTTPS. HSTS elimina esa ventana.

Por qué importa

HSTS es obligado para cualquier web con login, formularios o compras. Una vez activado con max-age de 1 año, desactivarlo es complicado — los navegadores lo recuerdan. Por eso: actívalo solo cuando HTTPS esté 100% operativo en todo el dominio.

Siguiente paso

¿Tienes un proyecto exigente entre manos?

Cuéntanos qué necesita tu empresa. En la primera llamada evaluamos viabilidad técnica, alcance y presupuesto cerrado. Sin compromiso.

Iniciar proyecto +34 659 998 350
Antes de cerrar

Un email cada dos semanas con lo que aprendemos.

Casos reales, decisiones técnicas con números, lecturas curadas. Sin "tips de LinkedIn", sin spam, sin emails en fin de semana.

Suscribirme a la newsletter