Firefox快取中间凭证的方式可能让机密资讯全都露

德国资安研究人员Alexander Klink于本周揭露，Firefox快取中间凭证（intermediate CA）的方式可能会导致使用者的机密资讯外泄，像是所在的地区及浏览喜好等，而Mozilla则已动手修补该臭虫。

Klink说明，当Firefox用户在造访一个HTTPS网页时，服务器会同时回传服务器凭证与中间凭证，若服务器的配置错误，只回传了服务器凭证，Firefox用户通常会在浏览器上看到错误讯息，但若该中间凭证已存放在Firefox的快取中，那么网页仍然可正常载入。

这是因为许多HTTPS网站使用了同样的中间凭证，所以若Firefox用户曾经造访其中一个网站，就会将中间凭证留存于快取中。

Klink指出，上述便足以让骇客推断Firefox用户的个人档案，例如某些中间凭证多被应用在特定的国家或区域，或是就读的学校等，也能得知使用者的浏览偏好，就算是启用了私密浏览（Private Browsing）模式也于事无补，因为该模式并未隔离快取。

Klink在今年1月27日通知了Mozilla，还提出了建议，认为最好的解决之道就是避免Firefox连结任何配置错误的服务器，不管Firefox是否快取了与该服务器相容的中间凭证。