%20%E6%94%BB%E6%92%83%E3%81%8B%E3%82%89%20Apache%20%E3%82%92%E4%BF%9D%E8%AD%B7%E3%81%99%E3%82%8B%E3%81%AB%E3%81%AF%E3%81%A9%E3%81%86%E3%81%99%E3%82%8C%E3%81%B0%E3%82%88%E3%81%84%E3%81%A7%E3%81%97%E3%82%87%E3%81%86%E3%81%8B%3F.png)
でビデオセキュリティ研究者の Mathy Vanhoef 氏は、自身の Web サイト www.krackattacks.com で、HTTPS 接続を HTTP にダウングレードしてログオン資格情報を傍受することが可能であることを実証しました。
私は小さな https サーバー (Apache、Ubuntu 16.04) を実行しており、HTTPS 要求をダウングレードする試みをすべて拒否するように構成したいと考えています。
Apache インスタンスが HTTPS を HTTP にダウングレードするブラウザ要求を受け入れて尊重するかどうかを確認するにはどうすればよいですか?
ブラウザからのこのようなリクエストを拒否するように Apache を再構成するにはどうすればよいでしょうか?
上記 (2) を行わない理由はありますか? 古いブラウザを使用しているユーザーをサポートすることは考えられますが、他に見落としている点はありますか?
答え1
1 つのオプションは、単に http を許可せず、https のみを許可することです。
もう 1 つのオプションは、HTTP Strict Transport Security を使用することです。
Apacheでこれを行うには、
ヘッダーは常に Strict-Transport-Security "max-age=31536000; includeSubDomains" に設定されます
TLS が有効になっている仮想ホストへ。また、これが確実に機能するように、http で行われたすべてのリクエストを https にリダイレクトする必要があります。