Buenas noticias: Microsoft anuncia compatibilidad con HTTP Strict Transport Security en Internet Explorer, que se agregará en Project Spartan más adelante

Microsoft anunció hoy el soporte para Seguridad de transporte estricta de HTTP (HSTS) en Internet Explorer. Esto ya es parte de Internet Explorer en Windows 10 Technical Preview, y también llegará a Project Spartan en una actualización posterior.

La especificación HSTS define un mecanismo que permite que los sitios web se declaren accesibles solo a través de conexiones seguras y/o que los usuarios puedan dirigir a sus agentes de usuario para interactuar con sitios determinados solo a través de conexiones seguras. Esta política general se conoce como HTTP Strict Transport Security (HSTS). Los sitios web declaran la política a través del campo de encabezado de respuesta HTTP Strict-Transport-Security y/o por otros medios, como la configuración del agente de usuario, por ejemplo.

Esta característica protege contra variantes de ataques man-in-the-middle que pueden quitar TLS de las comunicaciones con un servidor, dejando al usuario vulnerable.

HSTS proporciona dos métodos para que los sitios aseguren sus conexiones:

• Registro para una lista de precarga: Los sitios web pueden registrarse para ser codificados por IE y otros navegadores para redirigir el tráfico HTTP a HTTPS. Las comunicaciones con estos sitios web desde la conexión inicial se actualizan automáticamente para que sean seguras. Al igual que otros navegadores que han implementado esta función, la lista de precarga de Internet Explorer se basa en Chromium Lista de precarga de HSTS.
• Sirviendo un encabezado HSTS: Los sitios que no están en la lista de precarga pueden habilitar HSTS a través del Estricto-Transporte-Seguridad Encabezado HTTP. Después de una conexión HTTPS inicial del cliente que contiene el encabezado HSTS, el navegador redirige cualquier conexión HTTP posterior para protegerla a través de HTTPS.

Lea más al respecto esta página.