Hap*_*Dog 5 https http-headers penetration-testing
我们最近在我们的网站上进行了渗透测试,建议之一是实现Expect-CTHTTP 响应标头:
建议实现 Expect-CT 标头。合理的测试设置如下,但是一旦经过测试并签定永久部署,最大期限应从 30 秒增加到几个月的范围内。
例子:
Expect-CT: enforce,max-age=30严重程度:低
然而,MDN 文章中关于此设置的说明是:
Expect-CT 可能会在 2021 年 6 月过时。自 2018 年 5 月起,新证书预计将默认支持 SCT。2018年3月之前的证书有效期为39个月,这些证书将于2021年6月到期。
鉴于现在已经是 2021 年 6 月,我是否有理由不应该忽略渗透测试报告中的这一建议?
我想知道同样的事情。我认为您需要问自己如何更新用户的浏览器。\n如下所述,在我看来,Firefox、Chrome 和 Safari 强制执行此操作。但是,如果您有很多用户使用旧版浏览器,那么设置标头仍然可能有用,因为它受到广泛支持。
\n\n\n\n自 2015 年 1 月 1 日起,Chrome 要求通过证书透明度\n披露所有扩展验证证书。未正确披露的证书将被剥夺其 EV 状态,但不会向不合规网站的访问者显示任何警告。
\n自 2016 年 6 月 1 日起,Chrome 要求\n由赛门铁克公司拥有的根证书集\n颁发的所有新证书都通过证书透明度进行披露。未公开的证书或未按照 RFC6962 的方式公开的证书将因不可信而被拒绝。
\n对于 2018 年 4 月 30 日之后颁发的所有新证书,Chrome 将\n要求通过证书\n透明度公开证书。如果在此日期之后颁发证书,并且证书和站点都不支持 CT,则这些证书将被拒绝,因为\n不可信,并且连接将被阻止。在加载主页的情况下,用户将看到整页证书警告页面,并带有错误代码net::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED。如果您收到此错误,\n这表明您的 CA 尚未采取措施来确保您的\n证书支持 CT,您应该联系 CA 的销售或\n支持团队,以确保您可以获得\n有效的替换证书。
\n
这是另一篇文章https://www.thesslstore.com/blog/apple-certificate-transparency-october-15/其中 Firefox 和 Safari 现在也强制执行它。
\n\n\n以下是 Apple\xe2\x80\x99 的新证书透明度政策 我们的政策\n要求至少有两个从 CT 日志\xe2\x80\x94 颁发的签名证书时间戳 (SCT),一旦获得批准*或当前在检查时获得批准\xe2 \x80\x94 和\两者都不是:
\n当前批准的 CT 日志中至少有两个 SCT,其中一个 SCT\n通过 TLS 扩展或 OCSP 装订呈现;或 至少一个来自当前批准的日志的嵌入\nSCT,以及至少来自\n一次或当前批准的日志的 SCT 数量,基于下表中详述的有效期。
\n