Configuración de HTTP Strict Transport Security (HSTS)

Puede especificar HTTP Strict Transport Security (HSTS) en las cabeceras de respuesta para que el servidor pueda advertir a los clientes que sólo acepta solicitudes HTTPS. Puede redirigir las solicitudes no HTTPS a hosts virtuales habilitados para SSL.

Antes de empezar

  • Determine si la política HSTS se aplica sólo al dominio o incluye los subdominios.
  • Determine si el dominio puede formar parte de una lista preinstalada de hosts HSTS conocidos en un cliente.
  • Determine cuánto tiempo puede el cliente almacenar en la caché la información que indica que el dominio es un host HSTS.

Procedimiento

  1. Habilite la modificación de las cabeceras de respuesta.
    Elimine el comentario de la siguiente directiva de módulo de carga para el módulo mod_headers en el archivo httpd.conf:
    LoadModule headers_module modules/mod_headers.so
  2. Defina la política HSTS de los clientes.

    Realice las siguientes actualizaciones en el archivo httpd.conf:

    1. Codifique la directiva Header.
      La siguiente cabecera de ejemplo especifica opciones útiles para definir la política HSTS. La directiva especifica que el servidor siempre requiere conexiones HTTPS. Las conexiones HTTPS se aplican al dominio y a los subdominios. Un cliente puede mantener el dominio en su lista preinstalada de dominios HSTS un máximo de un año (31536000 segundos).
      Header always set Strict-Transport-Security "max-age=31536000;
            includeSubDomains; preload"
    2. Añada la directiva Header a cada sección del host virtual, <virtualhost>, que se habilita para la capa de sockets seguros (SSL).
  3. Redirija las solicitudes desde los hosts virtuales que no están habilitados para SSL a hosts virtuales que estén habilitados.
    RewriteEngine on 
    RewriteRule ^/(.*) https://%{HTTP_HOST}/$1 [R,L]
    • Añada la stanza una vez a cada sección de host virtual en el archivo httpd.conf.
    • Añada la stanza una vez al archivo httpd.conf global, pero fuera de las secciones de host virtual.

Resultados

Ha configurado IBM® HTTP Server para que avise a los clientes de que sólo pueden conectarse a los dominios y subdominios especificados a través de HTTPS. Para asegurarse de que IBM HTTP Server no procesa solicitudes no HTTPS a través de no SSL, ha configurado el servidor para que redirija estas solicitudes a hosts virtuales habilitados para SSL.

Qué hacer a continuación

Añada el servidor como un servidor frontal al entorno de servidor de aplicaciones para que las conexiones entre el servidor de aplicaciones y un cliente se realicen a través de HTTPS.

Icon that indicates the type of topic Task topic



Timestamp icon Last updated: last_date
http://www14.software.ibm.com/webapp/wsbroker/redirect?version=cord&product=ihs-dist&topic=tihs_hsts
File name: tihs_hsts.html