DPC: Неверный сканер HSTS TTL Nessus в отчетах DPC
Сводка: В статье описывается проблема со сканером Nessus, а в средствах веб-разработчика Chrome отображается HSTS TTL.
Симптомы
Сканер Nessus и инструменты веб-разработчика Chrome показывают, что HSTS TTL составляет 15 780 000 с (шесть месяцев).
С точки зрения безопасности это значение должно быть не менее 31536000 (один год).
Причина
Разрешение
Обычно это ошибочное срабатывание, так как по умолчанию в DPC для HSTS установлено значение 63072000 (два года).
Чтобы проверить настройки, войдите в DPC с помощью SSH/Putty в качестве администратора и su - root, чтобы получить root-прав, и выполните следующую команду:
-
curl -k -i https://<DPCFQDN> |less
Где <DPCFQDN> — это FQDN сервера DPC. - Вы получите следующий результат:
Server: nginx Date: Wed, 22 Nov 2023 19:52:17 GMT Content-Type: text/html; charset=UTF-8 Content-Length: 648123 Connection: keep-alive X-DNS-Prefetch-Control: off X-Frame-Options: SAMEORIGIN Strict-Transport-Security: max-age=15552000; includeSubDomains X-Download-Options: noopen X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Accept-Ranges: bytes Cache-Control: public, max-age=0 Last-Modified: Mon, 11 Sep 2023 12:07:27 GMT ETag: W/"9e3bb-18a8423b418" Cache-Control: no-cache, no-store, must-revalidate Pragma: no-cache Expires: 0 X-Frame-Options: SAMEORIGIN X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=63072000; includeSubdomains; Content-Security-Policy: frame-ancestors 'self'; object-src 'self'; default-src 'self' 'unsafe-inline' data:; script-src 'self' 'unsafe-inline';
Строка «Strict-Transport-Security: max-age=63072000; includeSubdomains;» показывает, что это значение равно 63072000 с или 2 года.
Вы также можете проверить /etc/nginx/conf.d/default.conf вы увидите следующие разделы, показывающие max-age:
Ниже приведены выходные данные веб-инструментов разработчика в Chrome для той же системы, что и выше: