Em o vídeo publicado em seu site www.krackattacks.com, a pesquisadora de segurança Mathy Vanhoef demonstrou que é possível fazer o downgrade de uma conexão HTTPS para HTTP e, em seguida, interceptar as credenciais de logon.
Estou executando um pequeno servidor https (Apache, Ubuntu 16.04) e gostaria de configurá-lo de forma a rejeitar qualquer tentativa de fazer downgrade de solicitações HTTPS.
Como posso verificar se minha instância do Apache aceitaria e atenderia a uma solicitação do navegador para fazer downgrade de HTTPS para HTTP?
Como posso reconfigurar o Apache para rejeitar essas solicitações de navegadores?
Existe uma razão para não fazer (2) acima? Suporte a usuários com navegadores antigos é aquele em que consigo pensar, há algo mais que estou perdendo?
Uma opção é simplesmente não permitir http apenas https.
A outra opção é usar a Segurança de Transporte Rígida de HTTP.
Você pode fazer isso no Apache adicionando
O cabeçalho sempre define Strict-Transport-Security "max-age = 31536000; includeSubDomains"
Para seu vhost habilitado para TLS. Você também deve redirecionar todas as solicitações feitas em http para https para garantir que isso ocorra.