ZenovayTools

Verificador de Precarga HSTS

Verifica si tu dominio está en la lista de precarga HSTS y valida tu encabezado Strict-Transport-Security. Verifica los indicadores max-age, includeSubDomains y preload requeridos para la precarga de Chrome/Firefox. Obtén el estado de elegibilidad y la puntuación de configuración.

Cómo usar Verificador de Precarga HSTS

  1. 1Ingresa el nombre de tu dominio para verificar la configuración HSTS.
  2. 2La herramienta obtiene el encabezado Strict-Transport-Security de tu sitio y lo analiza.
  3. 3La membresía en la lista de precarga se verifica contra la base de datos de precarga HSTS de Chrome/Firefox.
  4. 4Se muestran los requisitos de elegibilidad y cualquier problema de configuración.
ZenovayAnalytics

Analytics sin ningún aviso de cookies.

  • Seguimiento de visitantes en tiempo real
  • Privacidad primero, sin aviso de cookies
  • Configurado en dos minutos
Descubre Zenovay

Herramientas relacionadas

Generador de Contraseñas
Genera contraseñas fuertes y aleatorias con longitud, caracteres y complejidad personalizables.
Verificador de Fortaleza de Contraseña
Verifica qué tan fuerte es tu contraseña. Obtén un tiempo estimado de descifrado y sugerencias de mejora.
Generador HMAC
Genera firmas HMAC usando SHA-256, SHA-384 o SHA-512 con la API Web Crypto.
Cifrado/Descifrado AES
Cifra y descifra texto usando AES-GCM con derivación de clave PBKDF2. Se ejecuta completamente en tu navegador.

Preguntas frecuentes

¿Qué es HSTS y por qué es importante?
HTTP Strict Transport Security (HSTS) indica a los navegadores que su sitio solo debe accederse por HTTPS, nunca por HTTP. Una vez que un navegador ve la cabecera Strict-Transport-Security, convertirá automáticamente todas las solicitudes HTTP a HTTPS durante el periodo max-age. Esto previene los ataques de SSL stripping, en los que los atacantes interceptan el tráfico HTTP antes de que pueda redirigirse a HTTPS. HSTS es una cabecera de seguridad crítica para cualquier sitio habilitado para HTTPS.
¿Qué es la lista de precarga HSTS?
La lista de precarga HSTS es una lista codificada de dominios integrada en los navegadores (Chrome, Firefox, Safari, Edge) que siempre se cargan sobre HTTPS, incluso en la primera visita, antes de ver ninguna cabecera HSTS. Esto cierra la ventana de vulnerabilidad que existe cuando un usuario visita un sitio por primera vez por HTTP. Para estar en la lista de precarga, su dominio debe tener HSTS con max-age ≥ 31536000, includeSubDomains y la directiva preload.
¿Cuáles son los requisitos para la elegibilidad de precarga HSTS?
Su dominio debe: (1) servir un certificado HTTPS válido, (2) redirigir todo el tráfico HTTP a HTTPS, (3) tener la cabecera Strict-Transport-Security en las respuestas HTTPS con max-age de al menos 31536000 (1 año), (4) incluir la directiva includeSubDomains, y (5) incluir la directiva preload. Envíe su dominio en hstspreload.org.
¿Qué valor de max-age debo usar?
Para la implementación inicial, comience con un max-age corto (p. ej., 300 segundos) para probar sin bloquear a los visitantes. Aumente gradualmente a 1 mes, luego 6 meses, luego 1 año (31536000 segundos). El valor de 1 año es obligatorio para la elegibilidad de la lista de precarga. ADVERTENCIA: una vez que HSTS está activo con un max-age largo, no puede volver fácilmente a HTTP.
¿Protege HSTS contra todos los ataques MITM?
HSTS protege contra SSL stripping y ataques de degradación de protocolo después de la primera visita. Sin embargo, la primera visita sigue siendo vulnerable si el usuario se conecta por HTTP (el problema TOFU: Trust On First Use). La lista de precarga resuelve esto garantizando que los navegadores apliquen HTTPS desde la primera solicitud. HSTS no protege contra el compromiso de autoridades de certificación o si su certificado HTTPS no es válido.