HSTS, reduciendo las posibilidades de escuchas con navegación más segura

Hablar hace unos años de conexiones seguras era complicado. Primero porque no había tanta información al respecto, y segundo porque las tecnologías, unido a la experiencia de usuario, no alcanzaban el punto de fluidez actual, y por tanto no resultaba tan altamente peligroso navegar.

Pero los tiempos cambian, y al menos a mí, cuando me piden datos personales, y no tienen un certificado HTTPS activo, se me remueve el estómago (aún no entiendo como una web de tal importancia como la del ministerio de educación, cultura y deporte tenga un SSL error).

HSTS (siglas de HTTP Strict Transport Security protocol) viene a suplir este miedo desde la parte del servidor, haciendo de intermediario para asegurar que el cliente (el navegador, el usuario) está usando un protocolo seguro.

El funcionamiento es sencillo. La web en cuestión cuenta con un encabezado que informa al explorador de que las conexiones en su dominio deben ser seguras. De esta manera, obliga al explorador a usar una conexión segura durante x tiempo, y para todas las páginas del dominio (o las que se declaren).

Con esto, se evita el absurdo (y muy común paso, por otra parte) de recabar primero información personal (lo más normal es el usuario y la contraseña), para luego redirigirte a una conexión segura. A partir de entonces, todo estará cifrado, pero es que antes ya has metido datos personales que son vulnerables a escuchas de terceros.

La buena noticia es que la  IETF (Internet Engineering Task Force) lo ha aceptado como propuesta de estándar, y ya hay exploradores como Chrome o Firefox que lo soportan. Internet Explorer y Safari aún no, pero viendo las claras ventajas en materia de seguridad que otorga el protocolo, no tardarán en hacer lo propio.