微軟正在考慮引入public-key pinning機(jī)制，以抵御針對(duì)IE的中間人(MITM)攻擊。Public-key pinning作為一項(xiàng)對(duì)HTTP的拓展，由Google安全工程師今年10月遞交給了互聯(lián)網(wǎng)工程任務(wù)組(Internet Engineering Task Force, IETF)。

這項(xiàng)機(jī)制能夠保護(hù)用戶防御偽造證書引起的MITM中間人攻擊，大部分的中間人攻擊也正是基于偽造證書。攻擊者會(huì)用偽造的或者竊取到的證書獲取用戶瀏覽器的信任，從而使得用戶誤把攻擊者的惡意網(wǎng)站當(dāng)成正規(guī)的網(wǎng)站。

Public-key pinning機(jī)制之所以能夠防御中間人攻擊，是因?yàn)檫@項(xiàng)機(jī)制允許網(wǎng)站詳細(xì)說(shuō)明網(wǎng)站的有效證書是哪一家CA發(fā)行的，不再隨便接受證書管理器內(nèi)的數(shù)百家Root CA之一發(fā)行的證書，也就是把某個(gè)證書認(rèn)證機(jī)構(gòu)(CA)發(fā)行的一組公鑰與某個(gè)域名綁定起來(lái)。采用這項(xiàng)機(jī)制后，如果用戶訪問的網(wǎng)站與綁定的公鑰不符，瀏覽器就會(huì)拒絕加密連接。

瀏覽器支持

想要采用這個(gè)機(jī)制，首先瀏覽器得先要支持它。Google Chrome已經(jīng)支持public-key pinning，而今年9月發(fā)行的Mozilla Firefox 32，也已經(jīng)包含PKP功能。而現(xiàn)在微軟也正在考慮要在IE瀏覽器中引入這項(xiàng)機(jī)制。

MITM中間人攻擊的方式各種各樣，但眾多攻擊中，最關(guān)鍵的一點(diǎn)是使用偽造的證書。為了讓用戶瀏覽器信任攻擊者控制的網(wǎng)站，攻擊者會(huì)使用偽造的或者竊取的證書。這種手法非常常見，而最近這種技術(shù)經(jīng)常出現(xiàn)在一些比較知名的攻擊中。

近年來(lái)知名的MITM中間人攻擊事件

2011年，攻擊者竊取了荷蘭證書認(rèn)證機(jī)構(gòu)(CA)DigiNotar的證書并私自頒發(fā)了眾多知名網(wǎng)站的證書，包括Google, Yahoo和Mozilla基金會(huì)的證書。

2011年3月，攻擊者又竊取了Comodo的證書，頒發(fā)了Mozilla, Skype和Yahoo域名的證書。

而今年中國(guó)也發(fā)生多起中間人攻擊事件：

微軟賬號(hào)系統(tǒng)遭遇大規(guī)模SSL中間人攻擊

國(guó)內(nèi)iCloud服務(wù)器遭遇中間人攻擊，中國(guó)蘋果用戶隱私不保

根本停不下來(lái)：Yahoo在中國(guó)遭遇SSL中間人攻擊