GlobalProtect HTTP Falta el encabezado includeSubDomains en Strict-Transport-Security
16994
Created On 08/03/21 03:08 AM - Last Modified 01/21/22 22:48 PM
Symptom
Al realizar la evaluación de vulnerabilidades ( VA ) GlobalProtect en Portal, Strict-Transport-Security no incluye el parámetro includeSubDomains. Esto a menudo desencadena un falso positivo durante la notificación.
Cause
Globalprotect FQDN para el portal varía y se define manualmente de acuerdo con el registro de dominios de cada organización / autoridad. Por lo tanto, no se define includeSubDomains en Strict-Transport-Security.
Explicación:
IncludeSubDomains es un atributo opcional para incluir HTTPS compatibilidad con todos los subdominios. Es un requisito opcional.
GlobalProtect se aplicará HTTPS siempre que se redirija una solicitud al HTTP Portal como cumplimiento de la Estricta Seguridad de Transporte ( HTTP HSTS ).
- Al acceder a Hosted GlobalProtect Portal a través de por primera HTTP vez, el servidor (Portal) responderá con 301 Movido permanentemente al HTTPS sitio
- Posteriormente, acceder a la misma HTTP permitiría al navegador redirigir las solicitudes con redirección 307 ya que está HSTS habilitado
- La solicitud posterior HTTP no se reenviaría al ( Firewall GP Portal)
- El navegador recordará la solicitud inicial que no reenviaría la solicitud al servidor en la longitud de la "edad máxima"
- Nota: El mismo enfoque no se aplicaría a todos los subdominios.
La directiva includeSubDomains no es relevante GlobalProtect porque no es un sitio web alojado definido estáticamente.
Resolution
Sin resolución, es el comportamiento esperado.
Additional Information
Para verificar el HTTP encabezado en , utilice el comando GlobalProtect curl/wget o vaya a la herramienta de desarrollo del navegador al acceder al GlobalProtect portal.