微軟正在考慮引入public-key pinning機(jī)制，以抵御針對(duì)IE的中間人(MITM)攻擊。Public-key pinning作為一項(xiàng)對(duì)HTTP的拓展，由Google安全工程師今年10月遞交給了互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineering Task Force, IETF)。

這項(xiàng)機(jī)制能夠保護(hù)用戶防御偽造證書(shū)引起的MITM中間人攻擊，大部分的中間人攻擊也正是基于偽造證書(shū)。攻擊者會(huì)用偽造的或者竊取到的證書(shū)獲取用戶瀏覽器的信任，從而使得用戶誤把攻擊者的惡意網(wǎng)站當(dāng)成正規(guī)的網(wǎng)站。

Public-key pinning機(jī)制之所以能夠防御中間人攻擊，是因?yàn)檫@項(xiàng)機(jī)制允許網(wǎng)站詳細(xì)說(shuō)明網(wǎng)站的有效證書(shū)是哪一家CA發(fā)行的，不再隨便接受證書(shū)管理器內(nèi)的數(shù)百家Root CA之一發(fā)行的證書(shū)，也就是把某個(gè)證書(shū)認(rèn)證機(jī)構(gòu)(CA)發(fā)行的一組公鑰與某個(gè)域名綁定起來(lái)。采用這項(xiàng)機(jī)制后，如果用戶訪問(wèn)的網(wǎng)站與綁定的公鑰不符，瀏覽器就會(huì)拒絕加密連接。

瀏覽器支持

想要采用這個(gè)機(jī)制，首先瀏覽器得先要支持它。Google Chrome已經(jīng)支持public-key pinning，而今年9月發(fā)行的Mozilla Firefox 32，也已經(jīng)包含PKP功能。而現(xiàn)在微軟也正在考慮要在IE瀏覽器中引入這項(xiàng)機(jī)制。

MITM中間人攻擊的方式各種各樣，但眾多攻擊中，最關(guān)鍵的一點(diǎn)是使用偽造的證書(shū)。為了讓用戶瀏覽器信任攻擊者控制的網(wǎng)站，攻擊者會(huì)使用偽造的或者竊取的證書(shū)。這種手法非常常見(jiàn)，而最近這種技術(shù)經(jīng)常出現(xiàn)在一些比較知名的攻擊中。

近年來(lái)知名的MITM中間人攻擊事件

2011年，攻擊者竊取了荷蘭證書(shū)認(rèn)證機(jī)構(gòu)(CA)DigiNotar的證書(shū)并私自頒發(fā)了眾多知名網(wǎng)站的證書(shū)，包括Google, Yahoo和Mozilla基金會(huì)的證書(shū)。

2011年3月，攻擊者又竊取了Comodo的證書(shū)，頒發(fā)了Mozilla, Skype和Yahoo域名的證書(shū)。