DPC: DPC-Reports incorrect HSTS TTL Nessus scanner
Summary: L’article traite des problèmes liés au scanner Nessus et les outils de développement Web Chrome affichent la TTL HSTS.
Symptoms
Le scanner Nessus et les outils Chrome Web Developer affichent une durée de vie HSTS de 15 780 000 s (six mois).
La sécurité nécessite une valeur d’au moins 31536 000 (un an).
Cause
Resolution
Il s’agit généralement d’un faux positif, car le paramètre par défaut dans DPC pour HSTS est 63072000 (deux ans).
Pour vérifier les paramètres, connectez-vous au DPC à l’aide de SSH/Putty en tant qu’administrateur et su - sur root, puis exécutez la commande suivante :
-
curl -k -i https://<DPCFQDN> |less
Où <DPCFQDN> est le FQDN du serveur DPC. - Vous obtenez un résultat semblable à ce qui suit :
Server: nginx Date: Wed, 22 Nov 2023 19:52:17 GMT Content-Type: text/html; charset=UTF-8 Content-Length: 648123 Connection: keep-alive X-DNS-Prefetch-Control: off X-Frame-Options: SAMEORIGIN Strict-Transport-Security: max-age=15552000; includeSubDomains X-Download-Options: noopen X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Accept-Ranges: bytes Cache-Control: public, max-age=0 Last-Modified: Mon, 11 Sep 2023 12:07:27 GMT ETag: W/"9e3bb-18a8423b418" Cache-Control: no-cache, no-store, must-revalidate Pragma: no-cache Expires: 0 X-Frame-Options: SAMEORIGIN X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=63072000; includeSubdomains; Content-Security-Policy: frame-ancestors 'self'; object-src 'self'; default-src 'self' 'unsafe-inline' data:; script-src 'self' 'unsafe-inline';
La ligne « Strict-Transport-Security : max-age=63072000 ; includeSubdomains ; » indique que cette valeur est définie sur 63072000 s ou 2 ans.
Vous pouvez également consulter le /etc/nginx/conf.d/default.conf , vous voyez les sections suivantes montrant le max-age :
Vous trouverez ci-dessous la sortie des outils de développement Web dans Chrome pour le même système que ci-dessus :