ЦОД: DPC-Повідомляє про некоректний сканер HSTS TTL Nessus

Сканер Nessus та інструменти веб-розробника Chrome показують HSTS TTL як 15 780 000 с (шість місяців). 

Безпека вимагає, щоб він був не менше 31536000 (один рік). 

Зазвичай це помилкове спрацьовування, оскільки за замовчуванням у DPC для HSTS встановлено значення 63072000 (два роки).

Щоб перевірити налаштування, увійдіть у DPC, використовуючи SSH/Putty як адміністратора та su - щоб отримати root, і виконайте наступну команду:

• curl -k -i https://<DPCFQDN> |less

  Де <DPCFQDN> — FQDN сервера DPC.
• Ви отримуєте результат на кшталт наступного:

Server: nginx
Date: Wed, 22 Nov 2023 19:52:17 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 648123
Connection: keep-alive
X-DNS-Prefetch-Control: off
X-Frame-Options: SAMEORIGIN
Strict-Transport-Security: max-age=15552000; includeSubDomains
X-Download-Options: noopen
X-Content-Type-Options: nosniff
X-XSS-Protection: 1; mode=block
Accept-Ranges: bytes
Cache-Control: public, max-age=0
Last-Modified: Mon, 11 Sep 2023 12:07:27 GMT
ETag: W/"9e3bb-18a8423b418"
Cache-Control: no-cache, no-store, must-revalidate
Pragma: no-cache
Expires: 0
X-Frame-Options: SAMEORIGIN
X-Content-Type-Options: nosniff
Strict-Transport-Security: max-age=63072000; includeSubdomains;
Content-Security-Policy: frame-ancestors 'self'; object-src 'self'; default-src 'self' 'unsafe-inline' data:; script-src 'self' 'unsafe-inline';

Рядок 'Strict-Transport-Security: max-age=63072000; includeSubdomains;' показує, що встановлено значення 63072000 s або 2 роки.
Ви також можете перевірити /etc/nginx/conf.d/default.conf file, ви бачите наступні розділи, що показують максимальний вік:


Нижче наведено вихідні дані з веб-інструментів розробника в Chrome для тієї ж системи, що і вище: