Как обезопасить apache от атаки KRACK (или аналогичной MITM)?

Question

Как обезопасить apache от атаки KRACK (или аналогичной MITM)?

В видео, размещенном на его веб-сайте www.krackattacks.com, исследователь безопасности Мэти Ванхойф продемонстрировала, что существует возможность понизить соединение HTTPS до HTTP, а затем перехватить учетные данные для входа.

Я использую небольшой https-сервер (Apache, Ubuntu 16.04) и хотел бы настроить его так, чтобы он отклонял любые попытки понизить требования HTTPS.

Как я могу проверить, будет ли мой экземпляр Apache принимать и обрабатывать запрос браузера, чтобы понизить HTTPS до HTTP?
Как я могу перенастроить Apache, чтобы отклонять такие запросы от браузеров?
Есть ли причина не делать (2) выше? Я могу подумать о поддержке пользователей со старыми браузерами, что-то еще мне не хватает?

-1

apache2 security https

Источник

sмurf 20 окт '17 в 12:56

1 ответ

Решение

Другие вопросы по тегам apache2 security https

jdwolf 20 окт '17 в 13:04 2017-10-20 13:04 · Accepted Answer · 2017-10-20 13:04

Один из вариантов просто не разрешать http только https.

Другой вариант - использовать HTTP Strict Transport Security.

Вы можете сделать это в Apache, добавив

Заголовок всегда устанавливает Strict-Transport-Security "max-age=31536000; includeSubDomains"

К вашему TLS включен vhost. Вы также должны перенаправлять любые запросы, сделанные на http, на https, чтобы гарантировать это.