%20gesch%C3%BCtzt%20werden%3F.png)
Indas VideoDer Sicherheitsforscher Mathy Vanhoef hat auf seiner Website www.krackattacks.com gezeigt, dass es möglich ist, eine HTTPS-Verbindung auf HTTP herunterzustufen und dann die Anmeldeinformationen abzufangen.
Ich betreibe einen kleinen https-Server (Apache, Ubuntu 16.04) und möchte ihn so konfigurieren, dass alle Versuche, HTTPS-Anfragen herabzustufen, abgelehnt werden.
Wie kann ich überprüfen, ob meine Apache-Instanz eine Browseranforderung zum Downgrade von HTTPS auf HTTP akzeptieren und berücksichtigen würde?
Wie kann ich Apache neu konfigurieren, um solche Anfragen von Browsern abzulehnen?
Gibt es einen Grund, Punkt (2) oben nicht zu tun? Mir fällt ein, dass Benutzer mit alten Browsern unterstützt werden müssen. Gibt es sonst noch etwas, das ich übersehen habe?
Antwort1
Eine Möglichkeit besteht darin, einfach nur http und nur https nicht zuzulassen.
Die andere Möglichkeit ist die Verwendung von HTTP Strict Transport Security.
Sie können dies in Apache tun, indem Sie hinzufügen
Header immer auf Strict-Transport-Security setzen "max-age=31536000; includeSubDomains"
Zu Ihrem TLS-fähigen virtuellen Host. Sie sollten auch alle über http gestellten Anfragen auf https umleiten, um sicherzustellen, dass dies beibehalten wird.