DPC: DPC: informa un escáner HSTS TTL Nessus incorrecto
Resumen: En el artículo, se aborda un problema con el escáner Nessus y las herramientas para desarrolladores web de Chrome muestran HSTS TTL.
Síntomas
El escáner Nessus y las herramientas para desarrolladores web de Chrome muestran que el TTL de HSTS es de 15 780 000 s (seis meses).
Seguridad requiere que sea al menos 31536000 (un año).
Causa
Resolución
Por lo general, esto es un falso positivo, ya que la configuración predeterminada en DPC para HSTS es 63072000 (dos años).
Para comprobar los ajustes, inicie sesión en DPC mediante SSH/Putty como administrador y su - a root y ejecute el siguiente comando:
-
curl -k -i https://<DPCFQDN> |less
Donde <DPCFQDN> es el FQDN del servidor DPC. - Se obtiene un resultado como el siguiente:
Server: nginx Date: Wed, 22 Nov 2023 19:52:17 GMT Content-Type: text/html; charset=UTF-8 Content-Length: 648123 Connection: keep-alive X-DNS-Prefetch-Control: off X-Frame-Options: SAMEORIGIN Strict-Transport-Security: max-age=15552000; includeSubDomains X-Download-Options: noopen X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Accept-Ranges: bytes Cache-Control: public, max-age=0 Last-Modified: Mon, 11 Sep 2023 12:07:27 GMT ETag: W/"9e3bb-18a8423b418" Cache-Control: no-cache, no-store, must-revalidate Pragma: no-cache Expires: 0 X-Frame-Options: SAMEORIGIN X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=63072000; includeSubdomains; Content-Security-Policy: frame-ancestors 'self'; object-src 'self'; default-src 'self' 'unsafe-inline' data:; script-src 'self' 'unsafe-inline';
La línea "Strict-Transport-Security: max-age=63072000; includeSubdomains;" muestra que está configurado en 63072000 s o 2 años.
También puede consultar la /etc/nginx/conf.d/default.conf archivo, verá las siguientes secciones que muestran la edad máxima:
A continuación se muestra el resultado de las herramientas de desarrollo web en Chrome para el mismo sistema que el anterior: