La seguridad se ha convertido en uno de los valores más defendidos en internet. Ahora que sabemos que nuestros datos circulan por ahí, muchos han presionado a las grandes empresas de internet a poner medidas de seguridad para evitar que esos datos se filtren o sean fácilmente accesibles. En especial mientras accedes a un sitio web e introduces información personal.
Entre las muchas soluciones que han introducido los sitios web, destaca la adopción del protocolo HTTPS, una mejora del tradicional HTTP que integra cifrado en las conexiones desde tu navegador al servidor que hospeda un sitio web. Durante un tiempo fue opcional, pero poco a poco se va convirtiendo en la opción por defecto. Es más. Tu navegador probablemente solicite acceder a un sitio vía HTTPS. Y si no es posible, te avisará de ello.
Qué es HSTS y para qué sirve
Relacionado con este protocolo HTTPS, los sitios web incorporan una medida de seguridad conocida por las siglas HSTS. Vienen de HTTP Strict Transport Security. En castellano, se podría traducir por seguridad estricta en el transporte. Y como explica Mozilla en su documentación oficial para desarrolladores, “permite a un sitio web indicar a los navegadores que sólo se debe comunicar con HTTPS en lugar de usar HTTP”.
Esto tiene una razón de ser. Volviendo a la misma fuente, Mozilla explica que si un sitio web “acepta una conexión a través de HTTP y redirecciona a HTTPS, el usuario en este caso podría inicialmente hablar a la versión no encriptada del sitio antes de ser redireccionado”. ¿Qué implicaciones tiene esto para nuestra seguridad? Pues que ese redireccionamiento podría ser aprovechado para enviar al usuario a un sitio malicioso en vez de a la versión HTTPS de la página que queríamos visitar originalmente.
La solución que emplean los sitios web para evitar esto es incluir un encabezado HTTP Strict Transport Security. Así, el navegador entiende que no debe cargar el sitio a través de HTTP. En su lugar, debe acceder directamente vía HTTPS. Esto es importante en situaciones como, por ejemplo, conectarte a internet desde una red WiFi pública. Detrás de esa red WiFi puede haber un hacker interceptando tu navegación. Usar HTTP en vez de HTTPS haría que el hacker te pudiera engañar mostrándote un sitio web falso.
HSTS en tu navegador web
Como curiosidad, Google integra un servicio de precarga HSTS. Esto significa que si accedes a un sitio web desde Google o cualquiera de sus servicios, aplicaciones o dominios, activará el protocolo HSTS para que tu navegador acceda al sitio web directamente con HTTPS. Así evitará el problema de seguridad que hemos visto antes. Pero hay más.
Si tu navegador es Google Chrome o Mozilla Firefox, ambos navegadores emplean también listas precargadas HSTS. También las usan navegadores como Opera, Safari o Microsoft Edge. De manera que cuando vas a acceder a uno de los sitios web de esa lista, optarán por acceder a él con el protocolo HTTPS seguro en lugar de hacerlo primero vía HTTP. Y todo ello de manera transparente para el usuario. Es decir, que tú no tienes que hacer nada.
Como curiosidad, debes saber que existe un base de datos para consultar si la web que quieres visitar emplea HSTS. Es gratuita, no requiere registro y se basa en la lista que emplea Google Chrome.
Cómo eliminar un dominio de la configuración HSTS en Chrome
Aunque HSTS tiene motivos para estar ahí, tu seguridad, en ocasiones puede tener efectos no deseados. Uno de ellos es que no puedas acceder a determinado sitio web por culpa de la conexión segura forzosa. Por mucho que conozcas ese sitio web y sepas que es de confianza. ¿La buena noticia? Puedes eliminar un dominio de la configuración HSTS de tu navegador y, de esta manera, ver ese dominio sin problemas.
Si tu navegador es Chrome, puedes eliminar ese dominio o sitio web que te da problemas de esta manera. También funciona con navegadores basados en Chromium como Brave, Opera, Edge, Vivaldi, etc. Y sirve para cualquier dispositivo. Tanto PC o Mac como tableta o teléfono móvil.
Eliminar dominio en lista HSTS de Google Chrome Android- Desde Google Chrome, abre la dirección chrome://net-internals/#hsts
- Introduce el dominio que quieres eliminar en el campo Domain de la sección Query Domain
- Pulsa en Query para ver el resultado. Si aparece Found, es que está en la lista
- Introduce el dominio a eliminar en el campo Domain de la sección Delete domain security policies
- Pulsa en Delete para confirmar el borrado de ese dominio de la lista HSTS
Después de hacer esto, cuando abras ese dominio o sitio web en tu navegador Chrome, no forzará la conexión HTTPS. Si te estaba dando problemas, hará que el sitio web o dominio se abra correctamente en Chrome.
Como limpiar la configuración HSTS en Firefox
Si utilizas Firefox como navegador por defecto, también puedes borrar la caché HSTS. Así resolverás el problema de visitar ciertos sitios web o dominios si dan error al acceder a ellos forzando el protocolo HTTPS. Y como vimos antes, asegúrate de que la página que quieres visitar es segura antes de eliminarla de la lista HSTS de Firefox.
Eliminar un sitio web de la lista HSTS de Firefox AndroidPara limpiar la caché HSTS de Firefox:
- Abre Firefox y cierra todas las pestañas
- Abre el menú de Firefox y haz clic o pulsa en Historial o Mostrar historial. También puedes abrir el menú Historial en PC con las teclas CTRL + Mayús + H
- En el campo de búsqueda del Historial busca el dominio o sitio web que quieres eliminar de la lista
- Cuando lo encuentres, clic derecho y pulsa en Olvida este sitio o Forget About This Site
- En Android, ve a Historial, selecciona la página pulsando encima unos segundos y selecciona Eliminar
También puedes limpiar la configuración HSTS de Firefox, al completo, así:
- Abre Firefox y pulsa en el icono Librería o Library
- En Librería o Library, pulsa en Historial > Borrar historial reciente (History > Clear Recent History)
- En la ventana Borrar todo el historial o Clear All History, pulsa en el desplegable y marca la opción Everything o Todo
- En la misma ventana, desmarca todas las opciones salvo Site Preferences o Preferencias de sitio
- Pulsa en el botón Clear Now o Borrar ahora para confirmar
- En Android, ve a Historial, pulsa el icono de Papelera, selecciona Todo o Everything y pulsa en Delete o Eliminar
Con estos pasos eliminarás ese dominio o sitio web de la configuración HSTS de Firefox. Pero también eliminarás cualquier dato relacionado con esa página que haya guardado el navegador.