GlobalProtect HTTP Header fehlt includeSubDomains in Strict-Transport-Security
16988
Created On 08/03/21 03:08 AM - Last Modified 01/21/22 22:48 PM
Symptom
Beim Ausführen einer Schwachstellenbewertung ( VA ) für GlobalProtect Portal enthält Strict-Transport-Security nicht den Parameter includeSubDomains. Dies löst bei der Meldung häufig ein False Positive aus.
Cause
Globalprotect FQDN für das Portal variiert und wird manuell entsprechend der Domänenregistrierung/-autorität jeder Organisation definiert. Daher ist in Strict-Transport-Security kein includeSubDomains definiert.
Erläuterung:
includeSubDomains ist ein optionales Attribut, HTTPS das Unterstützung für alle Subdomains enthält. Es ist eine optionale Anforderung.
GlobalProtect wird immer HTTPS dann erzwungen, wenn eine HTTP Anforderung an das Portal umgeleitet wird, da die HTTP strikte Transportsicherheit ( HSTS ) eingehalten wird.
- Beim erstmaligen Zugriff auf das gehostete GlobalProtect Portal über antwortet der Server HTTP (Portal) mit 301 Permanent auf die Website verschoben HTTPS
- Anschließend würde der Zugriff darauf dem HTTP Browser ermöglichen, Anforderungen mit 307-Umleitung umzuleiten, da HSTS die Option aktiviert ist
- Die nachfolgende HTTP Anfrage würde nicht an das Firewall GP (Portal) weitergeleitet werden.
- Der Browser merkt sich die ursprüngliche Anfrage, die die Anfrage nicht in der Länge des "max-age" an den Server weiterleiten würde.
- Hinweis: Der gleiche Ansatz würde nicht für alle Subdomains gelten.
Die includeSubDomains-Direktive ist nicht relevant, da es sich nicht um GlobalProtect eine gehostete Website handelt, die statisch definiert ist.
Resolution
Keine Auflösung, es ist erwartetes Verhalten.
Additional Information
Um die HTTP Kopfzeile auf GlobalProtect zu überprüfen, verwenden Sie den Befehl curl/wget oder navigieren Sie beim Zugriff auf das Portal zum Entwicklertool des GlobalProtect Browsers.