DPC: DPC: informa un escáner HSTS TTL Nessus incorrecto

El escáner Nessus y las herramientas para desarrolladores web de Chrome muestran que el TTL de HSTS es de 15 780 000 s (seis meses). 

Seguridad requiere que sea al menos 31536000 (un año). 

Por lo general, esto es un falso positivo, ya que la configuración predeterminada en DPC para HSTS es 63072000 (dos años).

Para comprobar los ajustes, inicie sesión en DPC mediante SSH/Putty como administrador y su - a root y ejecute el siguiente comando:

• curl -k -i https://<DPCFQDN> |less

  Donde <DPCFQDN> es el FQDN del servidor DPC.
• Se obtiene un resultado como el siguiente:

Server: nginx
Date: Wed, 22 Nov 2023 19:52:17 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 648123
Connection: keep-alive
X-DNS-Prefetch-Control: off
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=15552000; includeSubDomains
X-Download-Options: noopen
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Accept-Ranges: bytes
Cache-Control: public, max-age=0
Last-Modified: Mon, 11 Sep 2023 12:07:27 GMT
ETag: W/"9e3bb-18a8423b418"
Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Expires: 0
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=63072000; includeSubdomains;
Content-Security-Policy: frame-ancestors 'self'; object-src 'self'; default-src 'self' 'unsafe-inline' data:; script-src 'self' 'unsafe-inline';

La línea "Strict-Transport-Security: max-age=63072000; includeSubdomains;" muestra que está configurado en 63072000 s o 2 años.
También puede consultar la /etc/nginx/conf.d/default.conf archivo, verá las siguientes secciones que muestran la edad máxima:


A continuación se muestra el resultado de las herramientas de desarrollo web en Chrome para el mismo sistema que el anterior: