微軟正在考慮引入public-key pinning機制，以抵御針對IE的中間人(MITM)攻擊。Public-key pinning作為一項對HTTP的拓展，由Google安全工程師今年10月遞交給了互聯(lián)網(wǎng)工程任務組(Internet Engineering Task Force, IETF)。

這項機制能夠保護用戶防御偽造證書引起的MITM中間人攻擊，大部分的中間人攻擊也正是基于偽造證書。攻擊者會用偽造的或者竊取到的證書獲取用戶瀏覽器的信任，從而使得用戶誤把攻擊者的惡意網(wǎng)站當成正規(guī)的網(wǎng)站。

Public-key pinning機制之所以能夠防御中間人攻擊，是因為這項機制允許網(wǎng)站詳細說明網(wǎng)站的有效證書是哪一家CA發(fā)行的，不再隨便接受證書管理器內(nèi)的數(shù)百家Root CA之一發(fā)行的證書，也就是把某個證書認證機構(gòu)(CA)發(fā)行的一組公鑰與某個域名綁定起來。采用這項機制后，如果用戶訪問的網(wǎng)站與綁定的公鑰不符，瀏覽器就會拒絕加密連接。

瀏覽器支持

想要采用這個機制，首先瀏覽器得先要支持它。Google Chrome已經(jīng)支持public-key pinning，而今年9月發(fā)行的Mozilla Firefox 32，也已經(jīng)包含PKP功能。而現(xiàn)在微軟也正在考慮要在IE瀏覽器中引入這項機制。

MITM中間人攻擊的方式各種各樣，但眾多攻擊中，最關(guān)鍵的一點是使用偽造的證書。為了讓用戶瀏覽器信任攻擊者控制的網(wǎng)站，攻擊者會使用偽造的或者竊取的證書。這種手法非常常見，而最近這種技術(shù)經(jīng)常出現(xiàn)在一些比較知名的攻擊中。

近年來知名的MITM中間人攻擊事件

2011年，攻擊者竊取了荷蘭證書認證機構(gòu)(CA)DigiNotar的證書并私自頒發(fā)了眾多知名網(wǎng)站的證書，包括Google, Yahoo和Mozilla基金會的證書。

2011年3月，攻擊者又竊取了Comodo的證書，頒發(fā)了Mozilla, Skype和Yahoo域名的證書。