Skip to main content

Configuración del terminal admitida

Títulos de seguridad

Los encabezados de seguridad son encabezados de respuesta HTTP que pueden ser usados para aumentar la seguridad de su aplicación. En otras palabras, estos encabezados ordenan al navegador web que active las precauciones de seguridad que protegen su sitio de los ataques.

Encabezados admitidos

Seguridad de transporte estricta

La seguridad de transporte estricta es una política de seguridad web que ayuda a resguardar los sitios web frente a ataques de degradación de protocolo y secuestros de sesión. Esta política permite a los servidores web interactuar mediante conexiones HTTPS seguras y nunca mediante protocolos HTTP inseguros.

X-Frame-Options

El encabezado X-Frame-Options mejora la protección de las aplicaciones web contra la captura de clics, conocida como clickjacking. Esto desactiva los iframes del sitio y no permite que otros incrusten su contenido.

X-XSS-Protection

X-XSS-Protection permite a los desarrolladores cambiar el comportamiento de los filtros de seguridad de secuencias de comandos en sitios cruzados. Estos filtros permiten reconocer entradas HTML inseguras y no permiten que el sitio cargue, o bien eliminan las secuencias de comandos posiblemente maliciosas.

X-Content-Type-Options

Este encabezado generalmente se usa para controlar la función sniffing de tipo MIME en los navegadores web. Si el encabezado Content-Type está vacío o no está presente, el navegador reconoce el contenido e intenta mostrar la fuente de una manera adecuada.

Content-Security-Policy

Este encabezado proporciona una capa adicional de seguridad contra múltiples vulnerabilidades como XSS, captura de clics, degradaciones del protocolo e introducción de trama. Si se activa, esto tiene un impacto significativo en la forma en que los navegadores renderizan las páginas.

X-Permitted-Cross-Domain-Policies

Un archivo de política de varios dominios es un documento XML que otorga a un cliente web, como Adobe Flash Player o Adobe Acrobat, permiso para manejar información en varios dominios.

Referrer-Policy

Por el encabezado Referrer-Policy se rige qué información de referencia, que se envía en el encabezado Referrer, debe ser incluida en las solicitudes que se hagan. Este encabezado de seguridad puede incluirse en la comunicación del servidor del sitio web a un cliente.

Feature-Policy

El encabezado Feature-Policy ofrece un mecanismo para permitir y denegar el uso de las características y las API del navegador en su propia trama.

Access-Control-Allow-Origin

El encabezado Access-Control-Allow-Origin se incluye en la respuesta de un sitio web a una solicitud procedente de otro sitio web. También identifica el origen permitido de la solicitud.

Expect-CT

Se trata de un encabezado de tipo respuesta que impide el uso de certificados emitidos erróneamente para un sitio y garantiza que no pasen desapercibidos.

Public-Key-Pins

Este encabezado de respuesta es un mecanismo de seguridad que permite a los sitios web HTTPS resistirse a la suplantación de identidad por parte de atacantes que utilizan certificados mal emitidos o fraudulentos.

¿Cómo afectan los encabezados a la calificación del servidor?

Por ejemplo, el encabezado de Seguridad de transporte estricta está calificado. Esta es la explicación:

Validación

Calificación del servidor

edad máxima < 10368000 (120 días)

En riesgo

edad máxima >= 10368000 y edad máxima < 31536000

Seguro

edad máxima >= 31536000 (1 año)

Muy seguro

Nota

El encabezado Seguridad de transporte estricta recibe una calificación solo si la solicitud se aprueba (HTTP 200 OK).

Encabezados de respuesta HTTP

Los encabezados de respuesta HTTP contienen información que incluye la fecha, el tamaño y el tipo de archivo que el servidor devuelve al navegador al recibir una solicitud HTTP.

Se pueden analizar todos los encabezados que se reciban en la respuesta HTTP.

Cifrado

Para una comunicación segura, el cliente y el servidor TLS deben acordar los algoritmos criptográficos y las claves que ambos utilizan para la conexión segura.

Sin embargo, existen numerosas combinaciones posibles. TLS solo permite ciertas combinaciones bien definidas de estas opciones, conocidas como conjuntos de cifrado.

Discovery identifica todos los conjuntos de cifrado admitidos por el servidor y los clasifica en la categoría Inseguro, Débil o Seguro, en función de las mejores prácticas de la industria.

Débil

  • Conjuntos de cifrado con AES con modo CBC

  • 3DES

Inseguro

  • RC4

  • Cifrado EXPORTAR

  • Cifrados mediante MD5

  • Cifrados nulos

  • Cifrados mediante una autenticación anónima

  • DES

Nota

La categoría seguro está compuesta de conjuntos de cifrado recomendados que pueden usarse de manera segura.