Configurar la compatibilidad con HTTP estricta seguridad de transporte (HSTS)

Los dispositivos Citrix ADC admiten la seguridad de transporte estricta (HSTS) HTTP como una opción integrada en perfiles SSL y servidores virtuales SSL. Mediante HSTS, un servidor puede exigir el uso de una conexión HTTPS para todas las comunicaciones con un cliente. Es decir, solo se puede acceder al sitio mediante HTTPS. Se requiere soporte para HSTS para la certificación A+ de SSL Labs.

Habilite HSTS en un perfil front-end SSL o en un servidor virtual SSL. Si habilita perfiles SSL, debe habilitar HSTS en un perfil SSL en lugar de habilitarlo en un servidor virtual SSL. Al establecer el encabezado de edad máxima, se especifica que HSTS está vigente durante esa duración para ese cliente. También puede especificar si se deben incluir subdominios. Por ejemplo, puede especificar que los subdominios de www.example.com, como www.abc.example.com y www.xyx.example.com, solo se puede acceder mediante HTTPS estableciendo el parámetro IncludeSubdomains en YES.

Si accede a cualquier sitio web que admita HSTS, el encabezado de respuesta del servidor contiene una entrada similar a la siguiente:

Encabezado de respuesta HSTS

El cliente almacena esta información durante el tiempo especificado en el parámetro max-age. En el caso de solicitudes posteriores a ese sitio web, el cliente comprueba en su memoria una entrada HSTS. Si se encuentra una entrada, solo accede a ese sitio web mediante HTTPS.

Puede configurar HSTS en el momento de crear un perfil SSL o un servidor virtual SSL mediante el comando add. También puede configurar HSTS en un perfil SSL o servidor virtual SSL existente modificándolo mediante el comando set.

Configurar HSTS mediante la CLI

En el símbolo del sistema, escriba:

add ssl vserver <vServerName> -HSTS ( ENABLED | DISABLED ) -maxage <positive_integer> -IncludeSubdomains ( YES | NO)

O

add ssl profile <name> -HSTS ( ENABLED | DISABLED ) -maxage <positive_integer> -IncludeSubdomains ( YES | NO )

Arguments

HSTS

         State of HTTP Strict Transport Security (HSTS) on an SSL virtual server or SSL profile. Using HSTS, a server can enforce the use of an HTTPS connection for all communication with a client.

          Possible values: ENABLED, DISABLED

          Default: DISABLED

maxage

          Set the maximum time, in seconds, in the strict transport security (STS) header during which the client must send only HTTPS requests to the server.

          Default: 0

          Minimum: 0

          Maximum: 4294967294

IncludeSubdomains

         Enable HSTS for subdomains. If set to Yes, a client must send only HTTPS requests for subdomains.

          Possible values: YES, NO

          Default: NO

En los ejemplos siguientes, el cliente debe acceder al sitio web y sus subdominios durante 157.680.000 segundos solo mediante HTTPS.

add ssl vserver VS-SSL –HSTS ENABLED –maxage 157680000 –IncludeSubdomain YES
add sslProfile hstsprofile –HSTS ENABLED –maxage 157680000 –IncludeSubdomain YES

Configurar HSTS mediante la GUI

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales, seleccione un servidor virtual de tipo SSL y haga clic en Modificar.

Realice los siguientes pasos si el perfil SSL predeterminado está habilitado en el dispositivo.

  1. Seleccione un perfil SSL y haga clic en Modificar.

  2. En Configuración básica, haga clic en el icono del lápiz para modificar la configuración. Desplácese hacia abajo y seleccione HSTS e Incluir subdominios.

    Habilitar HSTS

Realice los siguientes pasos si el perfil SSL predeterminado no está habilitado en el dispositivo.

  1. En Configuración avanzada, seleccione Parámetros SSL.

  2. Seleccione HSTS e Incluir subdominios.

    Habilitar HSTS en el servidor virtual

Soporte para precarga HSTS

Nota:

Esta función está disponible en la versión 12.1 build 51.x y versiones posteriores.

El dispositivo Citrix ADC admite agregar una precarga HSTS en el encabezado de respuesta HTTP. Para incluir la precarga, debe establecer el parámetro preload en el servidor virtual SSL o el perfil SSL en YES. A continuación, el dispositivo incluye la precarga en el encabezado de respuesta HTTP al cliente. Puede configurar esta función mediante la CLI y la GUI. Para obtener más información acerca de la precarga del HSTS, consulte https://hstspreload.org/.

A continuación se presentan ejemplos de encabezados HSTS válidos con precarga:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload
Strict-Transport-Security: max-age=63072000; preload

Configurar la precarga del HSTS mediante la CLI

En el símbolo del sistema, escriba:

add ssl vserver <vServerName> -HSTS ( ENABLED | DISABLED ) -maxage <positive_integer> -preload ( YES | NO )

O

add ssl profile <name> -HSTS ( ENABLED | DISABLED ) -maxage <positive_integer> -IncludeSubdomains ( YES | NO ) -preload ( YES | NO )

Configurar la precarga del HSTS mediante la interfaz gráfica de usuario

Realice los siguientes pasos si el perfil SSL predeterminado está habilitado en el dispositivo.

  1. Vaya a Sistema > Perfiles > Perfiles SSL. Seleccione un perfil SSL y haga clic en Modificar.

  2. En Configuración básica, haga clic en el icono del lápiz para modificar la configuración. Desplácese hacia abajo y seleccione HSTS y Precarga.

    Habilitar HSTS

Realice los siguientes pasos si el perfil SSL predeterminado no está habilitado en el dispositivo.

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales, seleccione un servidor virtual de tipo SSL y haga clic en Modificar.

  2. En Configuración avanzada, seleccione Parámetros SSL.

  3. Seleccione HSTS y Precarga.

    Habilitar HSTS en el servidor virtual

Configurar la compatibilidad con HTTP estricta seguridad de transporte (HSTS)