~ 안에비디오보안 연구원 Mathy Vanhoef는 자신의 웹 사이트 www.krackattacks.com에 게시하여 HTTPS 연결을 HTTP로 다운그레이드한 다음 로그온 자격 증명을 가로채는 것이 가능함을 시연했습니다.
저는 작은 https 서버(Apache, Ubuntu 16.04)를 실행 중이며 HTTPS 요청을 다운그레이드하려는 시도를 거부하는 방식으로 구성하고 싶습니다.
내 Apache 인스턴스가 HTTPS를 HTTP로 다운그레이드하라는 브라우저 요청을 수락하고 존중하는지 어떻게 확인할 수 있습니까?
브라우저에서 이러한 요청을 거부하도록 Apache를 어떻게 재구성할 수 있습니까?
위의 (2)를 하지 않는 이유가 있나요? 오래된 브라우저를 사용하는 사용자를 지원하는 것이 제가 생각할 수 있는 것입니다. 제가 놓치고 있는 다른 것이 있습니까?
답변1
한 가지 옵션은 단순히 http만 https만 허용하지 않는 것입니다.
다른 옵션은 HTTP Strict Transport Security를 사용하는 것입니다.
Apache에서 다음을 추가하여 이 작업을 수행할 수 있습니다.
헤더는 항상 Strict-Transport-Security "max-age=31536000; includeSubDomains"를 설정합니다.
TLS가 활성화된 가상 호스트로. 또한 이를 보장하려면 http에서 이루어진 모든 요청을 https로 리디렉션해야 합니다.