technical

HSTS preload

Comprova si el teu domini està a la llista de preload d'HSTS de Chromium, que força HTTPS des de la primera petició del navegador, tancant el forat que deixa obert l'HSTS pur.

Què comprova aquesta auditoria

Busca el teu domini a la llista de preload d’HSTS de Chromium, una llista estàtica de dominis només-HTTPS compilada directament dins de Chrome, Firefox, Safari, Edge i Brave. Per als dominis llistats, els navegadors rebutgen les connexions HTTP planes des de la primera petició, abans d’haver vist cap capçalera.

La comprovació retorna un d’aquests valors: preloaded, pending submission, not preloaded o removal in progress.

Per què importa

HSTS tanca la finestra d’atac de degradació, però només després que un navegador hagi vist la capçalera una vegada. La primera visita d’un usuari al teu domini segueix sent en text pla. En wifi hostil o amb un router compromès, un atacant pot interceptar aquesta primera petició, treure la redirecció a HTTPS i servir una versió maliciosa del teu lloc abans que HSTS s’activi.

El preload elimina aquesta finestra. El navegador sap que el teu domini és només-HTTPS abans que l’usuari escrigui la URL. Fins i tot en una instal·lació nova sense historial, la primera petició és xifrada.

Això importa sobretot per a: banca, sanitat, comptes amb credencials valuoses, fluxos de pagament i qualsevol lloc on la primera visita pugui comprometre l’usuari. Per a un lloc de marketing sense autenticació, el preload és un senyal agradable de maduresa operativa però no és essencial.

El compromís: el preload és difícil de desfer. L’eliminació sol trigar de 6 a 12 setmanes al canal estable de Chrome, i els usuaris amb versions antigues del navegador segueixen bloquejats encara més temps. Envia’l només quan estiguis segur que el teu domini parlarà HTTPS per sempre.

Com solucionar-ho

1. Verifica els requisits abans d’enviar-ho.

Segons la política de hstspreload.org, el teu lloc ha de:

  • Servir un certificat HTTPS vàlid al domini apex i a www.
  • Redirigir HTTP → HTTPS al mateix host (vegeu redirigir HTTP a HTTPS).
  • Enviar una capçalera HSTS a cada resposta HTTPS amb:
    • max-age31536000 (un any)
    • includeSubDomains
    • preload
  • Servir tots els subdominis també per HTTPS, includeSubDomains significa això.

La capçalera llesta per a producció:

Strict-Transport-Security: max-age=63072000; includeSubDomains; preload

Dos anys és el valor convencional un cop estàs segur.

2. Configura la capçalera.

nginx:

add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;

Apache:

Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"

Cloudflare: SSL/TLS → Edge Certificates → HSTS → posa max-age a 12+ mesos, activa Include subdomains, activa Preload, activa No-Sniff Header.

3. Verifica abans d’enviar.

curl -sI https://elteudomini.com | grep -i strict-transport-security
curl -sI https://www.elteudomini.com | grep -i strict-transport-security
curl -sI https://qualsevolsubdomini.elteudomini.com | grep -i strict-transport-security

Les tres han de retornar la capçalera amb les tres directives. Si un subdomini no té la capçalera o serveix sense HTTPS, l’enviament serà rebutjat.

4. Envia-ho a hstspreload.org.

Introdueix el domini a hstspreload.org, accepta els avisos, fes clic a Submit. El formulari executa la mateixa verificació que la comprovació manual anterior. Els dominis aprovats arriben a la pròxima release de Chrome (6-12 setmanes fins a l’estable). Firefox, Safari i Edge agafen els valors de la llista de Chromium amb la seva pròpia cadència.

5. Planifica el pitjor cas abans d’enviar-ho.

Repassa aquests modes de fallada i confirma que cadascun és acceptable:

  • El certificat caduca sense vigilància. Els usuaris reben un error dur sense fallback HTTP. Automatitza la renovació (Let’s Encrypt + temporitzador certbot o el certificat gestionat del teu proveïdor cloud).
  • Un subdomini necessita HTTP (dispositiu antic, IoT, eina interna). No funcionarà. Estàs bloquejat a HTTPS arreu per a l’eTLD+1.
  • Adquisició / domini venut. El nou propietari hereta l’entrada de preload fins que l’eliminació es completi. Els compradors haurien de comprovar la llista de preload abans de la compra.
  • Domini només-intern enviat per accident. L’eliminació triga mesos. Envia només dominis públics de producció.

6. Eliminació, si mai en necessites.

Envia una petició d’eliminació a hstspreload.org. El domini es treu de la pròxima actualització de Chromium (~6 setmanes). Les instal·lacions antigues de navegador segueixen bloquejades tant com diu el seu max-age, i els usuaris que no actualitzen Chrome poden quedar atrapats un any o més. Baixa el max-age a un valor petit (per exemple 300) amb antelació per limitar el bloqueig residual.

Preguntes freqüents

Necessito preload si ja tinc HSTS?

Per a la majoria de llocs de marketing, no. L’HSTS pur protegeix tothom després de la primera visita, que és prou bo quan no hi ha autenticació ni flux de pagament. El preload importa quan (a) gestiones credencials, diners o dades sanitàries, (b) pots garantir HTTPS per sempre i (c) ja portes HSTS desplegat almenys uns mesos sense problemes.

Quant triga a aparèixer realment a Chrome?

De l’enviament a la primera versió estable de Chrome: típicament de 6 a 12 setmanes. El formulari dirà “pending” fins a la pròxima compilació de la llista, després “pending preload” mentre passa pels canals de release de Chrome (canary → dev → beta → stable). Firefox, Safari i Edge agafen els valors de la llista de Chromium amb els seus propis cicles d’actualització, calcula 3-6 mesos per a cobertura àmplia.

Puc fer preload només d’un subdomini, com app.example.com?

Sí, però només si l’eTLD+1 pare no està ja en preload. Envia app.example.com directament. S’apliquen els mateixos requisits previs (capçalera HSTS amb directiva preload, HTTPS arreu en aquell hostname). És l’enfocament correcte quan controles un subdomini però no pots comprometre tota l’organització a HTTPS-per-sempre.

Fonts

Última actualització 2026-05-11