GlobalProtect HTTP 厳密なトランスポート セキュリティで includeSub ドメインが見つかりません
17000
Created On 08/03/21 03:08 AM - Last Modified 01/21/22 22:48 PM
Symptom
ポータルに対して脆弱性評価 ( ) を実行する場合 VA GlobalProtect 、厳密なトランスポート セキュリティには includeSubDomains パラメーターは含まれません。 これは、レポート中に誤検知を引き起こすことがよくあります。
Cause
Globalprotect FQDN ポータルのドメインは、各組織のドメインの登録/権限に応じて異なり、手動で定義されます。 したがって、厳密なトランスポート セキュリティでは、includeSubDomain は定義されません。
説明:
includeSubDomains は、すべてのサブドメインに対するサポートを含めるオプションの属性 HTTPS です。 これはオプションの要件です。
GlobalProtectHTTPS HTTP 要求を厳密なトランスポート セキュリティ ( ) に準拠するようにポータルにリダイレクトするたびに強制されます HTTP HSTS 。
- を使用してホストされた GlobalProtect ポータルに HTTP 初めてアクセスする場合、サーバー (ポータル) は 301 をサイトに完全に移動して応答します。 HTTPS
- その後、同じアクセスを HTTP 行うと、ブラウザは有効になっているので、307 リダイレクトで要求 HSTS をリダイレクトできます。
- 後続の HTTP 要求は Firewall (ポータル) に転送されません GP 。
- ブラウザは、要求を「max-age」の長さでサーバーに転送しない最初の要求を記憶します
- 注: 同じアプローチがすべてのサブドメインに適用されるわけではありません。
includeSubDomains ディレクティブは GlobalProtect 静的に定義されたホストされた Web サイトではないため、関連しません。
Resolution
解像度なし、予期される動作です。
Additional Information
HTTPでヘッダーを確認するには GlobalProtect 、curl/wget コマンドを使用するか、ポータルにアクセスするときにブラウザの開発者ツールに移動 GlobalProtect します。