Excepções à política de medição

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Esta página contém uma lista de situações de exceção para as medições da segurança de base. Uma medida sem contexto será avaliada negativamente. Por isso, a segurança básica acrescenta excepções de acordo com o chamado processo “cumprir ou explicar”.

Se faltar uma exceção, contacta-nos. Este pedido de exceção será então analisado e poderá ou não ser acrescentado às medições. Inclui os requisitos do manual de boas explicações.

Números das versões

A expetativa é não encontrar qualquer informação que um atacante possa utilizar para efetuar um ataque. Por isso, em geral, não esperamos números de versão. Estas são as excepções a esta regra:

  1. As cadeias SSH2.0 sem comentários são excluídas porque a informação sobre a versão faz parte do protocolo. Vê www.openssh.com/txt/rfc4253.txt 4.2. Isto significa, por exemplo, que “OpenSSH_9.2p1” é aprovado mas “OpenSSH_9.2p1 Debian-2+deb12u2” não. Isto acontece porque publica informação adicional (“Debian-2+deb12u2”) sobre o sistema. Isto significa que o sistema não está protegido contra atacantes e um atacante sabe exatamente que tipo de sistema é este.
  2. Versões principais de produtos conhecidos que dizem pouco sobre o nível do patch. Como por exemplo: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Estas são aprovadas.

Certificados

Espera-se que todos os certificados sejam emitidos por uma organização acreditada. Estes certificados são depois considerados fiáveis nos browsers e dispositivos. Estas são as excepções a esta regra:

  1. Certificados governamentais G1. Estes não são da confiança do browser, mas são da confiança do governo central. Isto é indicado por uma declaração. Não é de confiança agora é por design. O certificado que é aceite deve incluir o número de série 10004001, entre outros.

Abre os portões

A expetativa é que a superfície de ataque seja mínima: ou seja, o menor número possível de portas abertas. Estas são as excepções a isto:

  1. 8080/8443 (Cloudflare): A firewall da Cloudflare abre algumas portas redundantes por defeito, como a 8080. Podes configurar tu próprio o que aí aparece. Se virmos o cloudflare listado aí, agora aprovamo-lo com uma explicação. Em última análise, isto não é bom e encorajamos os utilizadores do cloudflare a indicar que a empresa deve começar a fechar estas portas. Esta exceção é feita com base no conteúdo da página web. Aplica uma política a isto como uma declaração.
  2. 8443 (VPN): os subdomínios relacionados com o trabalho em casa podem abrir este porto. Reconhecemos isto pelos subdomínios (e muitas variantes de): teletrabalho, trabalho em casa, local de trabalho, estação de trabalho, extranet, intranet, remoto, trabalho remoto, vpn e assim por diante.

Transferência de dados encriptados (HTTPS)

Espera-se que os sítios e serviços Web sejam encriptados para que as informações permaneçam confidenciais. Estas são as excepções a esta regra:

  1. Listas de revogação de certificados: não é necessária uma ligação encriptada nos subdomínios “pki”, “crl”, “ocsp” e algumas variantes dos mesmos. O cabeçalho HSTS não precisa de ser definido na porta 443 (não esperamos https).
  2. Não é necessária encriptação nos subdomínios do Microsoft Autodiscover, trata-se de uma exceção geral para os serviços da Microsoft porque, caso contrário, todos são vermelhos…? Isto aplica-se aos domínios “autodiscover” e “autodiscover.test”.

Cabeçalhos HTTP

A expetativa é que todos os sítios Web estejam configurados para a segurança. Estas são as excepções a esta regra:

  1. Falta de cabeçalhos para tipos de conteúdo SOAP/JSON/XML: Estes serviços não se destinam a seres humanos e, por conseguinte, não necessitam de fornecer a proteção do browser destinada a proteger os seres humanos.
  2. Cabeçalhos em falta para serviços técnicos: Para o subdomínio ADFS, o cabeçalho HSTS não precisa de ser definido.

Outros

Espera-se que todos os requisitos de segurança sejam cumpridos. Há cenários complexos em que isso ainda não aconteceu ou não é possível. Estas são as excepções:

  1. Serviços Microsoft em subdomínios em torno de lyncdiscover, sip, enterpriseenrollment, enterpriseeregistration, webmail, msoid. Isto foi feito porque estes serviços não se destinam a navegadores mas a serviços automatizados. Ao mesmo tempo, porque o impacto seria elevado em todo o lado e os fornecedores de serviços TIC não podem resolver estes problemas:
    • O certificado nestes subdomínios é de confiança, apesar de não ser de confiança da Qualys.
    • Uma vez que se trata de serviços destinados a dispositivos, e não a browsers, os cabeçalhos http não são obrigatórios.