Enel videopublicado en su sitio web www.krackattacks.com, el investigador de seguridad Mathy Vanhoef demostró que es posible degradar una conexión HTTPS a HTTP y luego interceptar las credenciales de inicio de sesión.
Estoy ejecutando un pequeño servidor https (Apache, Ubuntu 16.04) y me gustaría configurarlo de manera que rechace cualquier intento de degradar las solicitudes HTTPS.
¿Cómo puedo verificar si mi instancia de Apache aceptará y respetará una solicitud del navegador para degradar HTTPS a HTTP?
¿Cómo puedo reconfigurar Apache para rechazar dichas solicitudes de los navegadores?
¿Hay alguna razón para no hacer el punto (2) anterior? Se me ocurre admitir a usuarios con navegadores antiguos. ¿Hay algo más que me falta?
Respuesta1
Una opción es simplemente no permitir http solo https.
La otra opción es utilizar HTTP Strict Transport Security.
Puedes hacer esto en Apache agregando
El encabezado siempre establece Strict-Transport-Security "max-age=31536000; includeSubDomains"
A su vhost habilitado para TLS. También debe redirigir cualquier solicitud realizada en http a https para asegurarse de que esto se mantenga.