SSL: La directiva HSTS y los subdominios de Marketo
Descripción description
¿Qué es HSTS?
El encabezado de respuesta HTTP Strict-Transport-Security (a menudo abreviado como HSTS) permite que un sitio web informe a los exploradores de que solo se debe acceder a él mediante HTTPS, en lugar de utilizar HTTP. Esto evita los ataques de intermediario indicando al explorador que nunca debe interactuar con su dominio sin establecer primero una conexión HTTPS segura.
¿Qué significa esto para los recursos de Marketo?
Un dominio puede afirmar la directiva HSTS para todos sus subdominios. Esto significa que tanto los subdominios utilizados para las páginas de aterrizaje de Marketo como los subdominios para los vínculos de seguimiento de Marketo también deben estar protegidos con certificados SSL. Si se afirma HSTS y los subdominios de Marketo no están protegidos, las personas que visiten páginas de aterrizaje o hagan clic en vínculos rastreados en correos electrónicos recibirán errores de seguridad y los exploradores no cargarán las páginas.
Esto se resuelve comprando tanto los dominios seguros para las páginas de aterrizaje como los dominios seguros para el seguimiento de vínculos. Hay muy pocas excepciones en las que un dominio que utiliza HSTS no necesite proteger tanto los dominios de página de aterrizaje como los de vínculo de seguimiento.
¿Cómo sé si mi dominio utiliza HSTS?
Póngase en contacto con su equipo de desarrollo de TI o web para confirmar si su dominio utiliza HSTS y si tanto los dominios seguros como los vínculos de seguimiento son necesarios para su negocio. Si su sitio web utiliza HSTS y tiene el indicador "incluir subdominios" establecido en true, deberá proteger tanto los dominios de la página de aterrizaje como los de los vínculos de seguimiento en casi todas las circunstancias.
Google Chrome tiene un comprobador HSTS integrado que puede utilizar para comprobar la configuración de HSTS.
1. Visite el dominio raíz del sitio web con el explorador Chrome. Por ejemplo, si las páginas de aterrizaje de Marketo utilizan visit.acme.com, vaya a acme.com. Esto cargará la directiva HSTS del dominio en Chrome.
2. Vaya a chrome://net-internals/#hsts en Chrome. Se cargará el comprobador HSTS de Chrome.
3. En la sección "Query HSTS/PKP domain", escriba el dominio que desea comprobar. Haga clic en "Consulta".
4. Si la consulta devuelve "Found" con una lista de opciones de configuración, deberá comprobar dos opciones:
- Si "status_upgrade_mode" o "dynamic_upgrade_mode" tienen el valor "FORCE_HTTPS" o "STRICT", el dominio aplica HSTS y todas las conexiones se realizan a través de HTTPS.
- Si "static_pkb_include_subdomains" o "dynamic_pkp_include_subdomains" son iguales a "true", todos los subdominios están sujetos a la directiva HSTS.
Si todo lo anterior es verdadero, es posible que se requieran ambos dominios seguros para las páginas de aterrizaje y los vínculos de seguimiento.
Si la consulta devuelve "No encontrado" o no utiliza una directiva "FORCE_HTTPS" o "ESTRICTA", es posible que los subdominios de página de aterrizaje y vínculo de seguimiento no tengan requisitos HTTPS estrictos.
Compruebe siempre con su equipo de desarrollo de TI o web cuáles son las políticas y requisitos de seguridad de su dominio. Si no protege correctamente la página de aterrizaje o los dominios de seguimiento según la directiva de seguridad del dominio, es posible que las páginas de aterrizaje o los vínculos de seguimiento no se resuelvan en los exploradores. La falta de una política HSTS estricta no significa necesariamente que no necesite proteger los dominios de Marketo.
Mi dominio afirma HSTS en mis subdominios, pero no tengo codificación HTTPS con mi suscripción a Marketo. ¿Qué debo hacer?
Si todavía no ha protegido su primer dominio de vínculo de seguimiento en su instancia, simplemente abra un caso de asistencia y nos encargaremos del resto, ya que el primer dominio de vínculo de seguimiento está cubierto con la oferta de dominios seguros base en todas las suscripciones. Si desea proteger varios dominios de vínculo de seguimiento (o dominios de página de aterrizaje), debe ponerse en contacto con el CSM para adquirir dominios adicionales a la carta.
Contenido adicional de dominios seguros:
Se explica SSL heredado a dominios seguros
Información general y preguntas más frecuentes: Dominios seguros para páginas de aterrizaje
Información general y preguntas más frecuentes: Dominios seguros para el seguimiento de vínculos
Resolución resolution
Para obtener asistencia técnica, póngase en contacto con la Atención al cliente de Marketo Engage.