Cuando finalmente logramos personalizar el campo de encabezado HSTS correcto y se guardan los resultados, se considera que la Política HSTS está habilitada para un host determinado. Básicamente, el rendimiento de un sitio web no se ve afectado por la implementación de HSTS, y un usuario común no notará una diferencia obvia si un sitio web en particular usa HSTS o no.
En consecuencia, surge una pregunta lógica sobre si existe la posibilidad de verificar si la Política HSTS está realmente habilitada. Hay algunas formas de hacerlo: usando el símbolo del sistema a través de SSH o con la ayuda de verificadores en línea.
Comprobación del estado de HSTS utilizando Qualys SSL Labs
Hay muchas herramientas en línea que permiten verificar la configuración del servidor en términos de seguridad, desde una verificación básica de la instalación del certificado SSL hasta una verificación profunda de todos los aspectos relacionados con la implementación del transporte seguro. Una de las herramientas que proporciona un amplio conjunto de parámetros para comprobar es . Además de la puntuación general, que se calcula en función de una variedad de índices, debemos desplazarnos en la página de resultados, una vez que se completa el análisis, hasta la subsección Detalles del protocolo y ubicar el elemento Seguridad estricta del transporte (HSTS), frente al cual habría el resultado real de la verificación con HSTS.
Comprobación del encabezado HSTS a través del cliente SSH usando cURL
Un cliente SSH (por ejemplo, PuTTY) brinda la oportunidad de verificar cualquier nombre de dominio estableciendo si su servidor devuelve el encabezado STS en respuesta al comando, que ha sido diseñado de manera práctica específicamente para este propósito:
curl -s -D- https://ejemplo.com/ | grep -i estricto
El mensaje de respuesta se puede ver en la captura de pantalla a continuación.
Por lo tanto, si HSTS está habilitado, habrá un encabezado STS con el valor de la directiva “edad máxima”. En caso contrario, no habría ningún mensaje del servidor, ya que no hay nada que enviar en respuesta al comando indicado anteriormente.
Facebook Comments
Disqus