DPC: DPC-meldet falsche HSTS TTL Nessus Scanner

Nessus-Scanner und Chrome Web Developer-Tools zeigen HSTS TTL als 15.780.000 s (sechs Monate) an. 

Aus Sicherheitsgründen muss dies mindestens 31536000 (ein Jahr) sein. 

Dies ist in der Regel ein falsch positives Ergebnis, da die Standardeinstellung in DPC für HSTS 63072000 (zwei Jahre) ist.

Um die Einstellungen zu überprüfen, melden Sie sich mit SSH/Putty als Administrator bei DPC an und su - zum Stammverzeichnis und führen Sie den folgenden Befehl aus:

• curl -k -i https://<DPCFQDN> |less

  Dabei <ist DPCFQDN> der FQDN des DPC-Servers.
• Sie erhalten eine Ausgabe wie die folgende:

Server: nginx
Date: Wed, 22 Nov 2023 19:52:17 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 648123
Connection: keep-alive
X-DNS-Prefetch-Control: off
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=15552000; includeSubDomains
X-Download-Options: noopen
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Accept-Ranges: bytes
Cache-Control: public, max-age=0
Last-Modified: Mon, 11 Sep 2023 12:07:27 GMT
ETag: W/"9e3bb-18a8423b418"
Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Expires: 0
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=63072000; includeSubdomains;
Content-Security-Policy: frame-ancestors 'self'; object-src 'self'; default-src 'self' 'unsafe-inline' data:; script-src 'self' 'unsafe-inline';

Die Zeile 'Strict-Transport-Security: max-age=63072000; includeSubdomains;' zeigt, dass dies auf 63072000 s oder 2 Jahre eingestellt ist.
Sie können auch die /etc/nginx/conf.d/default.conf -Datei sehen Sie die folgenden Abschnitte, die das max-age zeigen:


Unten ist die Ausgabe der Web-Entwicklertools in Chrome für dasselbe System wie oben: