文書番号: 000219815
Nessus scannerおよびChrome Web Developerツールでは、HSTS TTLが15,780,000秒(6か月)と表示されます。
セキュリティでは、少なくとも31536000(1年)である必要があります。
HSTSのDPCのデフォルト設定は63072000(2年)であるため、通常は偽陽性です。
設定を確認するには、SSH/Puttyを使用してadminとしてDPCにログインし、suを実行してrootに移動し、次のコマンドを実行します。
curl -k -i https://<DPCFQDN> |lessここで<、DPCFQDN> はDPCサーバーのFQDNです。
Server: nginx Date: Wed, 22 Nov 2023 19:52:17 GMT Content-Type: text/html; charset=UTF-8 Content-Length: 648123 Connection: keep-alive X-DNS-Prefetch-Control: off X-Frame-Options: SAMEORIGIN Strict-Transport-Security: max-age=15552000; includeSubDomains X-Download-Options: noopen X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Accept-Ranges: bytes Cache-Control: public, max-age=0 Last-Modified: Mon, 11 Sep 2023 12:07:27 GMT ETag: W/"9e3bb-18a8423b418" Cache-Control: no-cache, no-store, must-revalidate Pragma: no-cache Expires: 0 X-Frame-Options: SAMEORIGIN X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=63072000; includeSubdomains; Content-Security-Policy: frame-ancestors 'self'; object-src 'self'; default-src 'self' 'unsafe-inline' data:; script-src 'self' 'unsafe-inline';「Strict-Transport-Security: max-age=63072000」includeSubdomains;' 行は、これが63072000秒または2年に設定されていることを示します。
Data Protection Central
23 11月 2023
1
Solution