ВВидеоИсследователь по вопросам безопасности Мати Ванхоф, разместивший на своем веб-сайте www.krackattacks.com, продемонстрировал, что можно понизить уровень соединения HTTPS до HTTP, а затем перехватить учетные данные для входа.
Я использую небольшой https-сервер (Apache, Ubuntu 16.04) и хотел бы настроить его таким образом, чтобы отклонять любые попытки понизить уровень HTTPS-запросов.
Как проверить, примет ли мой экземпляр Apache и выполнит ли он запрос браузера на понижение HTTPS до HTTP?
Как перенастроить Apache, чтобы отклонять такие запросы от браузеров?
Есть ли причина не делать (2) выше? Поддержка пользователей со старыми браузерами — это то, что я могу придумать, есть ли что-то еще, что я упускаю?
решение1
Один из вариантов — просто не разрешать http, только https.
Другой вариант — использовать HTTP Strict Transport Security.
Вы можете сделать это в Apache, добавив
Заголовок всегда устанавливает Strict-Transport-Security "max-age=31536000; includeSubDomains"
На ваш включенный TLS vhost. Вам также следует перенаправлять все запросы, сделанные с http на https, чтобы гарантировать, что это закрепится.