Glosario · Seguridad

HSTS: HTTP Strict Transport Security

Una cabecera HTTP que fuerza al navegador a usar siempre HTTPS para tu dominio, incluso si el usuario escribe "http://".

Se configura como cabecera HTTP en la respuesta del servidor:

Strict-Transport-Security: max-age=31536000; includeSubDomains; preload

Qué hace cada parte:

  • max-age=31536000: el navegador recuerda "usar HTTPS" durante 1 año
  • includeSubDomains: aplica a todos los subdominios (www, blog, api…)
  • preload: permite incluir el dominio en la lista HSTS preload de Chrome/Firefox/Safari

Sin HSTS, un atacante que intercepte la red (WiFi público malicioso) puede servir una versión HTTP falsa antes de que el navegador redireccione a HTTPS. HSTS elimina esa ventana.

Por qué importa

HSTS es obligado para cualquier web con login, formularios o compras. Una vez activado con max-age de 1 año, desactivarlo es complicado — los navegadores lo recuerdan. Por eso: actívalo solo cuando HTTPS esté 100% operativo en todo el dominio.

Siguiente paso

¿Tienes un proyecto exigente entre manos?

Cuéntanos qué necesita tu empresa. En la primera llamada evaluamos viabilidad técnica, alcance y presupuesto cerrado. Sin compromiso.

Iniciar proyecto +34 659 998 350
Antes de irte

¿10 segundos para analizar tu web gratis?

Pon la URL de tu web y te damos el diagnóstico al momento: SEO, rich snippets, accesibilidad, seguridad y rendimiento. Sin registro ni email. Si después quieres informe humano, lo pides desde ahí.

Analizar mi web gratis