Verificador de SSL/TLS

Comprueba: (1) si HTTPS es accesible y la conexión tiene éxito, (2) si HTTP redirige a HTTPS con una redirección 301/302, (3) la cabecera HSTS (directivas max-age, includeSubDomains, preload), (4) el estado de la lista de precarga HSTS vía hstspreload.org, (5) contenido mixto: recursos HTTP en una página HTTPS, y (6) la cadena de redirección HTTP→HTTPS.

HTTP Strict Transport Security (HSTS) indica a los navegadores que su sitio siempre debe accederse por HTTPS, incluso si el usuario escribe http://. Sin HSTS, un atacante en la misma red WiFi puede realizar SSL stripping: interceptar la solicitud HTTP inicial antes de la redirección y servir una versión HTTP falsa de su sitio. HSTS previene esto haciendo que los navegadores usen siempre HTTPS desde la primera solicitud.

La lista de precarga HSTS es una lista de dominios codificada en los navegadores (Chrome, Firefox, Safari, Edge) que siempre se acceden por HTTPS, antes de que se realice cualquier solicitud HTTP. Esto elimina incluso la vulnerabilidad de la primera visita. Para ser elegible, su sitio necesita HSTS con max-age≥31536000, includeSubDomains y preload. Puede enviarlo en hstspreload.org.

El contenido mixto ocurre cuando una página HTTPS carga recursos (imágenes, scripts, hojas de estilo, iframes) por HTTP. Los navegadores modernos bloquean el contenido mixto «activo» (scripts, hojas de estilo, iframes) que podría manipularse. El contenido mixto «pasivo» (imágenes, audio, vídeo) puede mostrar una advertencia de seguridad. Incluso el contenido mixto pasivo puede filtrar datos: las solicitudes HTTP revelan en qué página HTTPS está el usuario.

La conectividad HTTPS por sí sola es solo la base. Una puntuación alta también requiere: cabecera HSTS con max-age largo (≥1 año), includeSubDomains para cubrir subdominios, una redirección 301 desde HTTP, sin contenido mixto e idealmente el estado de precarga HSTS. Cada elemento faltante reduce la puntuación.

Esta herramienta comprueba si HTTPS funciona actualmente (lo que requiere un certificado válido y no caducado) pero no muestra la fecha de caducidad específica. Para información detallada del certificado (fecha de caducidad, emisor, SANs, suite de cifrado), use el SSL Test de SSL Labs en ssllabs.com/ssltest.

La directiva CSP `upgrade-insecure-requests` indica a los navegadores que conviertan automáticamente las subsolicitudes HTTP (imágenes, scripts, llamadas API) a HTTPS antes de realizarlas. Es una solución rápida para los problemas de contenido mixto causados por URLs http:// codificadas en su HTML o CSS. No corrige la causa raíz (las URLs incorrectas), pero evita las advertencias del navegador.