DPC: DPC-잘못된 HSTS TTL Nessus 스캐너 보고

Nessus 스캐너 및 Chrome 웹 개발자 도구는 HSTS TTL을 15,780,000초(6개월)로 표시합니다. 

보안에서는 최소 31536000(1년)이어야 합니다. 

HSTS에 대한 DPC의 기본 설정이 63072000(2년)이므로 일반적으로 가양성입니다.

설정을 확인하려면 SSH/Putty를 관리자로 사용하여 DPC에 로그인합니다. su - 루트로 이동하고 다음 명령을 실행합니다.

• curl -k -i https://<DPCFQDN> |less

  여기서 <DPCFQDN> 은 DPC 서버의 FQDN입니다.
• 다음과 같은 출력이 표시됩니다.

Server: nginx
Date: Wed, 22 Nov 2023 19:52:17 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 648123
Connection: keep-alive
X-DNS-Prefetch-Control: off
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=15552000; includeSubDomains
X-Download-Options: noopen
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Accept-Ranges: bytes
Cache-Control: public, max-age=0
Last-Modified: Mon, 11 Sep 2023 12:07:27 GMT
ETag: W/"9e3bb-18a8423b418"
Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Expires: 0
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=63072000; includeSubdomains;
Content-Security-Policy: frame-ancestors 'self'; object-src 'self'; default-src 'self' 'unsafe-inline' data:; script-src 'self' 'unsafe-inline';

'Strict-Transport-Security: max-age=63072000; includeSubdomains;' 줄은 이 값이 63072000초 또는 2년으로 설정되어 있음을 보여줍니다.
또한 다음을 확인할 수 있습니다. /etc/nginx/conf.d/default.conf 파일을 보면 max-age:


아래는 위와 동일한 시스템에 대한 Chrome의 웹 개발자 도구의 출력입니다.