GlobalProtect HTTP en-tête manquant includeSubDomains dans Strict-Transport-Security
16998
Created On 08/03/21 03:08 AM - Last Modified 01/21/22 22:48 PM
Symptom
Lors de l’exécution de l’évaluation de la vulnérabilité ( VA ) sur GlobalProtect portal, Strict-Transport-Security n’inclut pas le paramètre includeSubDomains. Cela déclenche souvent un faux positif lors du signalement.
Cause
Globalprotect FQDN pour le portail varie et est défini manuellement en fonction de l’enregistrement / autorité des domaines de chaque organisation. Par conséquent, aucun includeSubDomains n’est défini dans Strict-Transport-Security.
Explication :
IncludeSubDomains est un attribut facultatif pour inclure la HTTPS prise en charge de tous les sous-domaines. C’est une exigence facultative.
GlobalProtect appliquera HTTPS chaque fois que vous redirigez une HTTP demande vers le portail en tant que conformité avec la sécurité stricte du transport ( HTTP HSTS ).
- Lors de l’accès au portail hébergé GlobalProtect via pour la première HTTP fois, le serveur (portail) répondra avec 301 déplacé définitivement vers le HTTPS site
- Par la suite, l’accès à la même HTTP chose permettrait au navigateur de rediriger les demandes avec la redirection 307 puisque HSTS est activé
- La demande subséquente HTTP ne serait pas transmise au ( Firewall GP Portail)
- Le navigateur se souviendra de la demande initiale qui ne transmettrait pas la demande au serveur dans la longueur de la « max-age »
- Remarque : La même approche ne serait pas appliquée pour tous les sous-domaines.
La directive includeSubDomains n’est pas pertinente GlobalProtect car il ne s’agit pas d’un site Web hébergé défini statiquement.
Resolution
Aucune résolution, c’est le comportement attendu.
Additional Information
Pour vérifier HTTP l’en-tête sur GlobalProtect , utilisez la commande curl/wget ou accédez à l’outil développeur du navigateur lors de l’accès au GlobalProtect portail.