Una vez que haya configurado una conexión segura para su ActivityInfo, debería considerar permitir la Seguridad de Transporte Estricta de HTTP (HSTS).
El problema
HSTS ayuda a abordar una pequeña ventana de vulnerabilidad para sus usuarios. Cuando un usuario escribe el nombre de su servidor por primera vez en la barra de direcciones del navegador, como "activityinfo.example.gov", el navegador normalmente enviará primero una solicitud insegura y no cifrada a "http://activityinfo.example.gov". Su servidor de ActivityInfo redirigirá entonces al usuario al punto final seguro en "https://activityinfo.example".
Sin embargo, si su usuario da este primer paso a través de una red controlada por un actor malicioso, quienquiera que esté en control de la red tiene una pequeña ventana para organizar un ataque de intermediario (man-in-the-middle) antes de que el usuario sea redirigido al punto final seguro. Podrían interceptar la solicitud no cifrada a "http://activityinfo.example.gov" y redirigir a su usuario a un sitio falso diseñado para robar sus credenciales.
La solución
El encabezado de respuesta HTTP Strict-Transport-Security (a menudo abreviado como HSTS) informa a los navegadores que el sitio solo debe ser accedido usando HTTPS, y que cualquier intento futuro de acceder a él sin cifrado debe ser convertido automáticamente a HTTPS. Esto restringe aún más la ventana en la que un actor malintencionado podría organizar un ataque de intermediario.
Probando HSTS
Puede permitir HSTS una vez que haya configurado un certificado SSL válido en el panel de administración:
Haga clic en "Empezar a permitir la Seguridad de Transporte Estricta" para empezar a servir con un Tiempo de Vida (TTL) corto. Esto le permite probar su configuración y asegurarse de que todos sus usuarios todavía pueden acceder al servidor.
Permitiendo HSTS completamente
Una vez que haya confirmado que todo funciona bien con HSTS, puede permitir HSTS completamente haciendo clic en "Hacer permanente la Seguridad de Transporte Estricta":
¡Tenga cuidado! Una vez que empiece a servir este encabezado, sus usuarios solo podrán acceder a su servidor de ActivityInfo a través de una sección segura. Los navegadores de sus usuarios rechazarán el acceso, por ejemplo, si su certificado caduca antes de ser renovado. Revertir HSTS es, por diseño, muy complicado.
Añadiendo su dominio a la lista de precarga
Una vez que haya habilitado HSTS permanentemente, puede enviar el nombre de su dominio a la lista de precarga de HSTS. Esta es una lista de dominios utilizada por Chrome, Firefox y Safari que está integrada en el navegador, de modo que sus usuarios siempre serán forzados a la URL segura, incluso la primera vez.