Una vez que haya configurado una conexión segura para su ActivityInfo, debería considerar la posibilidad de habilitar la Seguridad de Transporte Estricta de HTTP (HSTS).
El problema
La HSTS ayuda a solucionar una pequeña ventana de vulnerabilidad para sus usuarios. Cuando un usuario escribe por primera vez el nombre de su servidor en la barra de direcciones del navegador, como "activityinfo.example.gov", el navegador normalmente enviará primero una solicitud insegura y no cifrada a "http://activityinfo.example.gov". Su servidor de ActivityInfo redirigirá entonces al usuario al punto de conexión seguro en "https://activityinfo.example".
Sin embargo, si su usuario da este primer paso a través de una red controlada por un actor malicioso, quienquiera que controle la red tiene una pequeña ventana para organizar un ataque de intermediario (man-in-the-middle) antes de que el usuario sea redirigido al punto de conexión seguro. Podrían interceptar la solicitud no cifrada a "http://activityinfo.example.gov" y redirigir a su usuario a un sitio falso diseñado para robar sus credenciales.
La solución
El encabezado de respuesta de Seguridad de Transporte Estricta de HTTP (a menudo abreviado como HSTS) informa a los navegadores de que al sitio solo se debe acceder mediante HTTPS, y que cualquier intento futuro de acceder a él sin cifrado debe convertirse automáticamente a HTTPS. Esto restringe aún más la ventana en la que un actor malintencionado podría organizar un ataque de intermediario.
Probar la HSTS
Puede habilitar la HSTS una vez que haya configurado un certificado SSL válido en el panel de administración:
Haga clic en "Empezar a habilitar la Seguridad de Transporte Estricta" para empezar a servir con un Tiempo de Vida (TTL) corto. Esto le permite probar su configuración y asegurarse de que todos sus usuarios pueden seguir accediendo al servidor.
Habilitar completamente la HSTS
Una vez que haya confirmado que todo funciona bien con la HSTS, habilítela completamente haciendo clic en "Hacer permanente la Seguridad de Transporte Estricta":
¡Tenga cuidado! Una vez que empiece a servir este encabezado, sus usuarios solo podrán acceder a su servidor de ActivityInfo a través de una conexión segura. Los navegadores de sus usuarios denegarán el acceso, por ejemplo, si su certificado caduca antes de ser renovado. Revertir la HSTS es, por diseño, muy complicado.
Añadir su dominio a la lista de precarga
Una vez que haya habilitado la HSTS de forma permanente, puede enviar su nombre de dominio a la lista de precarga de HSTS. Se trata de una lista de dominios utilizada por Chrome, Firefox y Safari que se integra en el navegador, de modo que sus usuarios siempre serán forzados a la URL segura, incluso la primera vez.