Dieses Veränderungen am Webserver der SSL unterstützt, wird eine Umleitung von HTTPS auf HTTP unterbunden. Die Schwachstelle wird genutzt um verschlüsselte Verbindungen wie HomeBanking, Shopping, PayPal usw. mitzuhören. Das heisst bei der Erstkommunikation zwischen Browser und Webseite, wird ein Handshake gemacht und genau da wird die Verbindung aufgebrochen. Dh. der Vermittler der zwischen Browser und Webseite sitzt, kann alles was Sie eingeben, zb. Kreditkartendaten, im Klartext und Echtzeit mitlesen.
Zum aktivieren von HTTP Strict Transport Security in Apache muss die VHOST-Section folgender Eintrag hinzugefügt werden für VirtualHost 443 :
# Use HTTP Strict Transport Security to force client to use secure connections only
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
Auf jedem Fall muss der Browser den Header der Antwort über HTTPS erhalten. Deshalb ist zusätzlich das Umschreiben (redirect) aller Anfragen von HTTP auf HTTPS vorzusehen. Damit werden auch Browser abgefangen, die HSTS nicht unterstützen, wie der IE von Microsoft.
Mit dem apache-Module mod_rewrite folgenden Eintrag hinzufügen:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (. *) https://%{HTTP_HOST}%{REQUEST_URI}
Wir benötigen Ihre Zustimmung um den Inhalt von YouTube laden zu können.Weiterführende tiefere Information gibt es hier :
http://blog.securenet.de/2012/11/02/ssl-stripping-die-ignorierte-gefahr/
