Undantag från värderingspolicyn

Disclaimer: Het origineel van deze pagina geschreven in het Nederlands. Deze pagina is automatisch vertaald naar andere talen met behulp van DeepL. Dit kan leiden tot verschillen in nuance, toon en betekenis. Raadpleeg bij twijfel altijd eerst de Nederlandse versie. Door de hoge kosten van vertalingen kan het zijn dat deze pagina inhoudelijk achter loopt met de Nederlandse versie. Wij beschouwen de Nederlandse versie van deze pagina als leidend.

Denna sida innehåller en lista med undantagssituationer för mätningar av grundtrygghet. En mätning utan sammanhang kommer att bedömas negativt. Därför lägger grundsäkerheten till undantag enligt den så kallade ”följ eller förklara”-processen.

Om ett undantag saknas, vänligen kontakta oss. Denna begäran om undantag kommer sedan att granskas och kan eller inte kan läggas till i mätningarna. Inkludera kraven i manualen för god förklaring.

Versionsnummer

Förväntningen är att inte stöta på någon information som en angripare kan använda för att utföra en attack. Så i allmänhet förväntar vi oss inte versionsnummer. Detta är undantagen från detta:

  1. SSH2.0-strängar utan kommentarer är undantagna eftersom versionsinformation är en del av protokollet. Se www.openssh.com/txt/rfc4253.txt 4.2. Detta innebär t.ex. att ”OpenSSH_9.2p1” är godkänd men ”OpenSSH_9.2p1 Debian-2+deb12u2” är inte godkänd. Detta beror på att den publicerar ytterligare information (”Debian-2+deb12u2”) om systemet. Detta innebär att systemet inte är härdat mot angripare och att en angripare vet exakt vilken typ av system detta är.
  2. Större versioner av välkända produkter som säger lite om patchnivån. Till exempel: Microsoft IIS 8.5, Microsoft httpapi/2.0, rtc 7.0, awselb/2.0. Dessa är godkända.

Certifikat

Det förväntas att alla certifikat kommer att utfärdas av en ackrediterad organisation. Dessa certifikat är sedan betrodda i webbläsare och enheter. Detta är undantagen från detta:

  1. G1 Regeringscertifikat. Dessa är inte betrodda av webbläsaren men är betrodda av den centrala regeringen. Detta indikeras med ett uttalande. Inte betrodd är nu av design. Det certifikat som accepteras måste bland annat innehålla serienumret 10004001.

Öppna portar

Förväntningen är att attackytan är minimal, det vill säga så få öppna portar som möjligt. Detta är undantagen från detta:

  1. 8080/8443 (Cloudflare): Cloudflare-brandväggen öppnar vissa redundanta portar som standard, till exempel 8080. Du kan själv konfigurera vad som visas där. Om vi ser cloudflare listat där godkänner vi det nu med en förklaring. Detta är i slutändan inte bra och vi uppmuntrar cloudflare-användare att ange att företaget bör börja stänga dessa portar. Detta undantag sker baserat på innehållet på webbsidan. En policy tillämpas på detta som en förklaring.
  2. 8443 (VPN): underdomäner relaterade till hemarbete kan öppna denna port. Vi känner igen detta på underdomäner (och många varianter av): teleworking, homeworking, workplace, workstation, extranet, intranet, remote, remote working, vpn och så vidare.

Krypterad dataöverföring (HTTPS)

Förväntningen är att webbplatser och webbtjänster ska vara krypterade så att informationen förblir konfidentiell. Detta är undantagen från detta:

  1. Listor över återkallade certifikat: ingen krypterad anslutning behövs på underdomänerna ”pki”, ”crl”, ”ocsp” och vissa varianter av dessa. HSTS-rubriken behöver inte ställas in på port 443 (vi förväntar oss inte https).
  2. Ingen kryptering krävs på Microsoft Autodiscover-underdomäner, detta är ett generellt undantag för Microsoft-tjänster eftersom alla annars är röda…? Detta gäller för domänerna ”autodiscover” och ”autodiscover.test”.

HTTP-rubriker

Förväntningen är att alla webbplatser är säkerhetskonfigurerade. Dessa är undantagen från detta:

  1. Saknade rubriker för innehållstyperna SOAP/JSON/XML: Dessa tjänster är inte avsedda för människor och behöver därför inte tillhandahålla det webbläsarskydd som är avsett att skydda människor.
  2. Saknade rubriker för tekniska tjänster: För ADFS-underdomänen behöver HSTS-rubriken inte ställas in.

Övriga

Alla säkerhetskrav förväntas uppfyllas. Det finns komplexa scenarier där detta ännu inte har skett eller inte är möjligt. Dessa är undantagen:

  1. Microsoft-tjänster på subdomäner runt lyncdiscover, sip, enterpriseenrollment, enterpriseregistration, webmail, msoid. Detta gjordes eftersom dessa tjänster inte är avsedda för webbläsare utan för automatiserade tjänster. Samtidigt skulle effekterna bli stora överallt och leverantörer av ICT-tjänster kan inte lösa dessa problem:
    • Certifikatet på dessa underdomäner är betrott, trots att det inte är betrott från Qualys.
    • Eftersom dessa tjänster är avsedda för enheter, inte webbläsare, är http-rubrikerna inte obligatoriska.