フィルタリング: Strict-Transport-Security headers x 消去
enhancement

Discovery で、Strict-Transport-Security (STS) セキュリティヘッダの評価システムを更新しました。現在、STS for HTTP 200 申請のみをチェックし、 HTTP 301 申請については、無視しています。ウェブサイトに Strict-Transport-Security (STS) セキュリティヘッダがないか、設定が間違っている場合、サーバーにのみ罰則が科せられます。このような場合、サーバーを "リスク状態" と評価します。

以前は、STS for HTTP 301 申請を当社がチェックし、Strict-Transport-Security (STS) セキュリティヘッダがない場合に、サーバーに罰則を科していました。このような場合、サーバーを "安全ではない" と評価しました。

セキュリティヘッダ 結果を表示するには、エンドポイントの[サーバー]詳細ページに移動します。サイドバーメニューで、[Discovery] > [結果を表示する] の順でクリックします。[証明書]ページで、[エンドポイントを表示する] をクリックします。[エンドポイント]ページで、エンドポイントの [IP アドレス / FQDN] リンクをクリックします。

更新に関する注意事項:更新した STS 評価システムは、最新のセンサバージョン – 3.7.7 で利用できます。センサ更新が完了した後、スキャンを再実行し、更新した STS 評価を確認します。