DPC: DPC-meldet falsche HSTS TTL Nessus Scanner
Summary: Der Artikel behandelt ein Problem mit dem Nessus-Scanner und die Chrome Web Developer-Tools zeigen HSTS TTL an.
Symptoms
Nessus-Scanner und Chrome Web Developer-Tools zeigen HSTS TTL als 15.780.000 s (sechs Monate) an.
Aus Sicherheitsgründen muss dies mindestens 31536000 (ein Jahr) sein.
Cause
Resolution
Dies ist in der Regel ein falsch positives Ergebnis, da die Standardeinstellung in DPC für HSTS 63072000 (zwei Jahre) ist.
Um die Einstellungen zu überprüfen, melden Sie sich mit SSH/Putty als Administrator bei DPC an und su - zum Stammverzeichnis und führen Sie den folgenden Befehl aus:
-
curl -k -i https://<DPCFQDN> |less
Dabei <ist DPCFQDN> der FQDN des DPC-Servers. - Sie erhalten eine Ausgabe wie die folgende:
Server: nginx Date: Wed, 22 Nov 2023 19:52:17 GMT Content-Type: text/html; charset=UTF-8 Content-Length: 648123 Connection: keep-alive X-DNS-Prefetch-Control: off X-Frame-Options: SAMEORIGIN Strict-Transport-Security: max-age=15552000; includeSubDomains X-Download-Options: noopen X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Accept-Ranges: bytes Cache-Control: public, max-age=0 Last-Modified: Mon, 11 Sep 2023 12:07:27 GMT ETag: W/"9e3bb-18a8423b418" Cache-Control: no-cache, no-store, must-revalidate Pragma: no-cache Expires: 0 X-Frame-Options: SAMEORIGIN X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=63072000; includeSubdomains; Content-Security-Policy: frame-ancestors 'self'; object-src 'self'; default-src 'self' 'unsafe-inline' data:; script-src 'self' 'unsafe-inline';
Die Zeile 'Strict-Transport-Security: max-age=63072000; includeSubdomains;' zeigt, dass dies auf 63072000 s oder 2 Jahre eingestellt ist.
Sie können auch die /etc/nginx/conf.d/default.conf -Datei sehen Sie die folgenden Abschnitte, die das max-age zeigen:
Unten ist die Ausgabe der Web-Entwicklertools in Chrome für dasselbe System wie oben: