DPC: DPC zgłasza nieprawidłowy skaner HSTS TTL Nessus
Summary: Artykuł dotyczy problemu ze skanerem Nessus i narzędziami dla programistów Chrome pokazującymi HSTS TTL.
Symptoms
Skaner Nessus i narzędzia Chrome Web Developer pokazują HSTS TTL jako 15 780 000 s (sześć miesięcy).
Zabezpieczenia wymagają, aby była to co najmniej 31536000 (jeden rok).
Cause
Resolution
Zazwyczaj jest to wynik fałszywie dodatni, ponieważ domyślne ustawienie w DPC dla HSTS to 63072000 (dwa lata).
Aby sprawdzić ustawienia, zaloguj się do DPC za pomocą SSH/Putty jako administrator i su - do roota i uruchom następujące polecenie:
-
curl -k -i https://<DPCFQDN> |less
Gdzie <DPCFQDN> jest nazwą FQDN serwera DPC. - Otrzymasz dane wyjściowe podobne do następujących:
Server: nginx Date: Wed, 22 Nov 2023 19:52:17 GMT Content-Type: text/html; charset=UTF-8 Content-Length: 648123 Connection: keep-alive X-DNS-Prefetch-Control: off X-Frame-Options: SAMEORIGIN Strict-Transport-Security: max-age=15552000; includeSubDomains X-Download-Options: noopen X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Accept-Ranges: bytes Cache-Control: public, max-age=0 Last-Modified: Mon, 11 Sep 2023 12:07:27 GMT ETag: W/"9e3bb-18a8423b418" Cache-Control: no-cache, no-store, must-revalidate Pragma: no-cache Expires: 0 X-Frame-Options: SAMEORIGIN X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=63072000; includeSubdomains; Content-Security-Policy: frame-ancestors 'self'; object-src 'self'; default-src 'self' 'unsafe-inline' data:; script-src 'self' 'unsafe-inline';
Wiersz 'Strict-Transport-Security: max-age=63072000; includeSubdomains;' pokazuje, że jest to ustawione na 63072000 s lub 2 lata.
Można również sprawdzić ikonę /etc/nginx/conf.d/default.conf zobaczysz następujące sekcje pokazujące max-age:
Poniżej znajdują się dane wyjściowe z internetowych narzędzi programistycznych w Chrome dla tego samego systemu, co powyżej: