Firefox快取中間憑證的方式可能讓機密資訊全都露

德國資安研究人員Alexander Klink於本周揭露，Firefox快取中間憑證（intermediate CA）的方式可能會導致使用者的機密資訊外洩，像是所在的地區及瀏覽喜好等，而Mozilla則已動手修補該臭蟲。

Klink說明，當Firefox用戶在造訪一個HTTPS網頁時，伺服器會同時回傳伺服器憑證與中間憑證，若伺服器的配置錯誤，只回傳了伺服器憑證，Firefox用戶通常會在瀏覽器上看到錯誤訊息，但若該中間憑證已存放在Firefox的快取中，那麼網頁仍然可正常載入。

這是因為許多HTTPS網站使用了同樣的中間憑證，所以若Firefox用戶曾經造訪其中一個網站，就會將中間憑證留存於快取中。

Klink指出，上述便足以讓駭客推斷Firefox用戶的個人檔案，例如某些中間憑證多被應用在特定的國家或區域，或是就讀的學校等，也能得知使用者的瀏覽偏好，就算是啟用了私密瀏覽（Private Browsing）模式也於事無補，因為該模式並未隔離快取。

Klink在今年1月27日通知了Mozilla，還提出了建議，認為最好的解決之道就是避免Firefox連結任何配置錯誤的伺服器，不管Firefox是否快取了與該伺服器相容的中間憑證。