Il tuo browser ha rifiutato un certificato, ma questo non deve essere causato da un attacco.
Google.co.uk is failing its HSTS on my browsers.
L'avviso che vedi non indica in particolare un problema con HSTS. È solo Firefox che dice: "Il certificato non è valido e, a proposito, non ti consentiremo di aggiungere un'eccezione manuale perché il sito utilizza HSTS." 1
Ci sono molti motivi plausibili per cui hai ricevuto un certificato non valido per un breve periodo di tempo. Potrebbe essere un problema al tuo ISP, un problema con il tuo router, intercettazione SSL da un captive portal (come menzionato da @FedericoPoloni) o, in teoria, un tentativo scarso di un attacco MITM. La prima fase dell'indagine sarebbe quella di verificare quale certificato ti è stato effettivamente offerto.
In seguito, non hai confrontato correttamente i certificati: sei connesso a www.google.co.uk
ma hai eseguito il test di terze parti contro google.co.uk
. Questi sono tecnicamente diversi domini che servono diversi certificati in base al nome del server indicato.
Qui sto testando ogni -servername
con openssl
e dovresti riconoscere entrambe le impronte digitali:
$ openssl s_client -servername www.google.co.uk -connect www.google.co.uk:443 < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin
SHA1 Fingerprint=D1:8F:DE:83:4A:68:88:32:DD:CF:C8:6B:0C:74:94:33:02:75:BC:43
$ openssl s_client -servername google.co.uk -connect www.google.co.uk:443 < /dev/null 2>/dev/null | openssl x509 -fingerprint -noout -in /dev/stdin
SHA1 Fingerprint=42:38:CE:6C:AA:C5:FE:13:A0:5A:56:88:F3:F2:E7:E4:D7:14:07:DA
1 HSTS (HTTP Strict Transport Security) è un'intestazione che i server Web possono inviare per indicare che i client non devono mai connettersi al sito su HTTP semplice (per un periodo di tempo specificato). Il tuo browser ha rilevato quell'intestazione durante una delle tue precedenti visite a www.google.co.uk
o lo ha precaricato. Uno degli effetti collaterali dell'intestazione è che l'interfaccia utente non consente più di ignorare gli avvisi del certificato aggiungendo un'eccezione.