Configurar la función de seguridad de transporte estricta HTTP (HSTS)
Los dispositivos Citrix ADC admiten la seguridad de transporte estricta (HSTS) HTTP como una opción integrada en los perfiles SSL y los servidores virtuales SSL. Con HSTS, un servidor puede imponer el uso de una conexión HTTPS para todas las comunicaciones con un cliente. Es decir, solo se puede acceder al sitio mediante HTTPS. Se requiere soporte para HSTS para la certificación A+ de SSL Labs.
Habilite HSTS en un perfil front-end SSL o en un servidor virtual SSL. Si habilita los perfiles SSL, debe habilitar HSTS en un perfil SSL en lugar de habilitarlo en un servidor virtual SSL. Al establecer el encabezado de antigüedad máxima, especifica que HSTS esté vigente durante ese período para ese cliente. También puede especificar si se deben incluir subdominios. Por ejemplo, puede especificar que solo se pueda acceder a los subdominios de www.example.com, como www.abc.example.com y www.xyx.example.com, mediante HTTPS estableciendo el parámetro IncludeSubdomains
en SÍ.
Si accede a algún sitio web que admita HSTS, el encabezado de respuesta del servidor contiene una entrada similar a la siguiente:
El cliente almacena esta información durante el tiempo especificado en el parámetro max-age. Para solicitudes posteriores a ese sitio web, el cliente comprueba si hay una entrada HSTS en su memoria. Si se encuentra una entrada, solo accede a ese sitio web mediante HTTPS.
Puede configurar HSTS en el momento de crear un perfil SSL o un servidor virtual SSL mediante el comando add. También puede configurar HSTS en un perfil SSL o servidor virtual SSL existente modificándolo mediante el comando set.
Configurar HSTS mediante la CLI
En el símbolo del sistema, escriba:
add ssl vserver <vServerName> -maxage <positive_integer> -IncludeSubdomains ( YES | NO)
set ssl vserver <vServerName> -HSTS ( ENABLED | DISABLED )
<!--NeedCopy-->
O BIEN:
add ssl profile <name> -maxage <positive_integer> -IncludeSubdomains ( YES | NO )
set ssl profile <name> -HSTS ( ENABLED | DISABLED )
Arguments
HSTS
State of HTTP Strict Transport Security (HSTS) on an SSL virtual server or SSL profile. Using HSTS, a server can enforce the use of an HTTPS connection for all communication with a client.
Possible values: ENABLED, DISABLED
Default: DISABLED
maxage
Set the maximum time, in seconds, in the strict transport security (STS) header during which the client must send only HTTPS requests to the server.
Default: 0
Minimum: 0
Maximum: 4294967294
IncludeSubdomains
Enable HSTS for subdomains. If set to Yes, a client must send only HTTPS requests for subdomains.
Possible values: YES, NO
Default: NO
<!--NeedCopy-->
En los siguientes ejemplos, el cliente debe acceder al sitio web y sus subdominios durante 157 680 000 segundos solo mediante HTTPS.
add ssl vserver VS-SSL –maxage 157680000 –IncludeSubdomain YES
set ssl vserver VS-SSL –HSTS ENABLED
<!--NeedCopy-->
add sslProfile hstsprofile –HSTS ENABLED –maxage 157680000 –IncludeSubdomain YES
set sslProfile hstsprofile –HSTS ENABLED
<!--NeedCopy-->
Configurar HSTS mediante la GUI
- Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales, seleccione un servidor virtual de tipo SSL y haga clic en Modificar.
Realice los siguientes pasos si el perfil SSL predeterminado está habilitado en el dispositivo.
-
Seleccione un perfil SSL y haga clic en Modificar.
-
En Configuración básica, haga clic en el icono del lápiz para modificar la configuración. Desplácese hacia abajo y seleccione HSTS e Incluir subdominios.
Realice los siguientes pasos si el perfil SSL predeterminado no está habilitado en el dispositivo.
-
En Configuración avanzada, seleccione Parámetros SSL.
-
Seleccione HSTS e Incluir subdominios.
Función de precarga de HSTS
El dispositivo Citrix ADC admite la adición de una precarga HSTS en el encabezado de respuesta HTTP. Para incluir la precarga, debe establecer el parámetro preload
en el servidor virtual SSL o el perfil SSL en SÍ. A continuación, el dispositivo incluye la precarga en el encabezado de respuesta HTTP para el cliente. Puede configurar esta función mediante la CLI y la GUI. Para obtener más información sobre la precarga de HSTS, consulte https://hstspreload.org/.
Los siguientes son ejemplos de encabezados HSTS válidos con precarga:
Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
<!--NeedCopy-->
Strict-Transport-Security: max-age=63072000; preload
<!--NeedCopy-->
Configurar la precarga de HSTS mediante la CLI
En el símbolo del sistema, escriba:
add ssl vserver <vServerName> -maxage <positive_integer> -preload ( YES | NO )
set ssl vserver <vServerName> -HSTS ( ENABLED | DISABLED )
<!--NeedCopy-->
O BIEN:
add ssl profile <name> -maxage <positive_integer> -IncludeSubdomains ( YES | NO ) -preload ( YES | NO )
set ssl profile <name> -HSTS ( ENABLED | DISABLED )
<!--NeedCopy-->
Configurar la precarga de HSTS mediante la GUI
Realice los siguientes pasos si el perfil SSL predeterminado está habilitado en el dispositivo.
-
Vaya a Sistema > Perfiles > Perfiles SSL. Seleccione un perfil SSL y haga clic en Modificar.
-
En Configuración básica, haga clic en el icono del lápiz para modificar la configuración. Desplácese hacia abajo y seleccione HSTS y Precarga.
Realice los siguientes pasos si el perfil SSL predeterminado no está habilitado en el dispositivo.
-
Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales, seleccione un servidor virtual de tipo SSL y haga clic en Modificar.
-
En Configuración avanzada, seleccione Parámetros SSL.
-
Seleccione HSTS y Precarga.