Nueva regla para forzar HTTPS

Desde hace casi dos años, todos las cuentas de Alojamiento Web de IcaServer tienen instaladas un certificado SSL/TLS para encriptar las comunicaciones entre dichas cuentas, y los clientes que las visitan.

Ya que los navegadores, por defecto, siempre acceden a un sitio web mediante el protocolo inseguro, habíamos colocado una redirección en el fichero .htaccess , de tal manera que el navegador -al acceder al sitio web- primero recibía la instrucción de recargar el mismo sitio web, pero usando HTTPS.

Esto presenta algunos problemas: Primero: está el tema del doble acceso al sitio web (el primero en HTTP, luego la redirección con HTTPS). Y segundo (y más importante): Es posible que alguien (o algo) capture el primer acceso (ya que sucede en un canal inseguro), para lograr algún tipo de ataque.

Por ello, a partir de la ahora, las nuevas cuentas de Alojamiento Web de IcaServer tendrán un fichero .htaccess con mayor seguridad:

# BEGIN HTTPS
# Estas líneas indicará al navegador web que siempre acceda a esta cuenta 
# de alojamineto web via HTTPS

RewriteEngine On
RewriteCond %{HTTPS} !on
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Header always set Strict-Transport-Security "max-age=7776000; includeSubDomains"

# END HTTPS

En vez de usar constantemente una redirección hacia una conexión HTTPS, ahora activaremos el HTTP con seguridad de transporte estricta a las nuevas cuentas. Con esto, le indicamos al navegador web que siempre cargue el sitio web vía HTTPS (por ello se llama ‘estricta’), y con esto evitamos el doble acceso (ahora solo sucederá una única vez, la primera vez que un navegador web accede al sitio web).

Como seguridad adicional, los navegadores web recordarán esta directiva aunque sea removida (muchas veces por accidente) del fichero .htaccess por aproximadamente 3 meses, que es el tiempo de validez del certificado SSL/TLS autoinstalado (el cual se renueva automáticamente al vencerse). No usamos el tiempo común de un año, por si en un caso muy extraño alguno de nuestros clientes decida migrar su cuenta de alojamiento web a otro proveedor y no desee usar HTTPS ahí, por alguna razón…

Eventualmente cambiaremos esa fecha a un año en las nuevas cuentas. Cambiarlo es sencillo, solo deben de modificar el valor de max-age a 31536000 (un año no bisiesto, especificado en segundos).

Este nuevo fichero .htaccess solo será colocado automáticamente en las nuevas cuentas. En las cuentas ya creadas, deberán de añadir (o crear)  a su fichero .htaccess el contenido arriba descrito (pueden ignorar las líneas que empiezan con una almohadilla, “#”).

A %d blogueros les gusta esto: