在影片安全研究員 Mathy Vanhoef 在他的網站 www.krackattacks.com 上發布了演示,可以將 HTTPS 連線降級為 HTTP,然後攔截登入憑證。
我正在運行一個小型 https 伺服器(Apache、Ubuntu 16.04),並且我希望將其配置為拒絕任何降級 HTTPS 請求的嘗試。
如何驗證我的 Apache 實例是否接受並尊重瀏覽器將 HTTPS 降級為 HTTP 的請求?
如何重新配置 Apache 以拒絕來自瀏覽器的此類請求?
有理由不執行上述(2)嗎?我能想到的是支援使用舊瀏覽器的用戶,我還缺少其他東西嗎?
答案1
一種選擇是不允許僅使用 http https。
另一個選擇是使用 HTTP 嚴格傳輸安全性。
您可以透過新增在 Apache 中執行此操作
標頭始終設定 Strict-Transport-Security“max-age=31536000; includeSubDomains”
到您啟用了 TLS 的虛擬主機。您還應該將 http 上發出的任何請求重定向到 https,以確保這一點持續存在。