Как защитить апача от KRACK (или подобный MITM) нападение?
В видео, отправленном на его веб-сайте, исследователь в области безопасности www.krackattacks.com Mathy Vanhoef продемонстрировал, что возможно понизить Подключение HTTPS до HTTP и затем прервать удостоверения защиты при входе в систему.
Я выполняю маленький https сервер (Apache, Ubuntu 16.04) и я, пустоши нравится настраивать его способом, который отклонил бы любые попытки понизить Запросы HTTPS.
Как я могу проверить, принял ли мой экземпляр Apache и удостоил бы чести запрос браузера понижать HTTPS до HTTP?
Как я могу реконфигурировать Apache для отклонения таких запросов от браузеров?
Существует ли причина не сделать (2) выше? Поддержка пользователей со старыми браузерами является той, о которой я могу думать, там что-то еще, что я пропускаю?
1 ответ
Одна опция, просто не позволяют http только https.
другая опция состоит в том, чтобы использовать HTTP Строгая Транспортная безопасность.
можно сделать это в Apache путем добавления
Заголовок всегда Строгая Транспортная безопасность набора "max-age=31536000; includeSubDomains"
К Вашему TLS включил vhost. Необходимо также перенаправлять любые запросы, выполненные на http к https, чтобы гарантировать, что это придерживается.