Terry Chia ha risposto alla domanda "Qual è il vantaggio dei certificati rotanti così frequentemente?" completamente corretto, quindi non c'è niente da aggiungere.
Tuttavia, vorrei aggiungere una nota che Google cambia spesso anche le proprie chiavi pubbliche, quindi l'ipotesi del cheat sheet non è valida. Questo aggiunge molta confusione e potrebbe essere parte della ragione della domanda originale.
Solo dai miei x509-archivi personali:
$ openssl x509 -in google-oct.pem -noout -subject -dates -modulus
subject= /C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
notBefore=Sep 24 10:48:54 2014 GMT
notAfter=Dec 23 00:00:00 2014 GMT
Modulus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
$ openssl x509 -in google-nov.pem -noout -subject -dates -modulus
subject= /C=US/ST=California/L=Mountain View/O=Google Inc/CN=www.google.com
notBefore=Oct 22 12:57:51 2014 GMT
notAfter=Jan 20 00:00:00 2015 GMT
Modulus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
[...]
$ openssl x509 -in google-apr.pem -noout -subject -dates -modulus
Modulus=924D62DDCD6B012D33F6CF12A5FD6291B490867ABB1E4F7F356FA8BBD424400C283EE7BB14DA8D1268239814A490F7D88EBA5EA3A9ED8DFEE6B6FF841405A964D47B1F76DB6F39A6990FD024060248FA889580271D6DDA6A7ADEB1538425268FAA8C2D824865DA3F30F78D48887D4C90D86F0A8A95F0A9CC951B7562FC98EC91D132C1C9418182045652BF510D357F1792201126DF230CD76BCA58B367A30088E6606FE7B80265582BD9A235F36AC60A2A6C266775979B52501355C51C7927ABA5DD0FFAFA39DFA240B3F21826188A9818B5E9761D38E15ACA980EF12BA14BEE00CA3D8C7F66112B56CEDCE2CA8BE67DD8ACA8B594D906CAE752217F67419E59
Le chiavi effettive sono completamente diverse e questo è perfettamente soddisfacente dal punto di vista della sicurezza.
Supponendo che il tempo e le risorse siano sufficienti, si può per es. tentare di calcolare la forza bruta una chiave privata per abbinare una chiave pubblica nota. O qualcosa di simile a heartbleed accade ancora una volta, con conseguente compromissione delle chiavi private. Un modo semplice per mitigare entrambi i tipi di minacce è modificare periodicamente le chiavi.
Dalle mie osservazioni, i certificati di Google sono validi per tre mesi, ma vengono scambiati una volta al mese. Ciò va bene da un punto di vista operativo: non si desidera ricaricare i nuovi certificati esattamente nello stesso secondo, ma probabilmente avviare la distribuzione dei nuovi certificati su 1% dei server interessati e aumentare fino alla piena flotta di server. Se qualcosa va storto, è comunque possibile ripristinare il vecchio certificato ancora valido e disporre di altri due mesi per correggere i nuovi certificati, la configurazione del server, il software del server o qualsiasi altra cosa che possa causare il problema associato al nuovo (interrotto) certificato.