Sembra che Facebook stia alternativamente servendo due certificati SSL, uno da DigiCert e uno da VeriSign. Ci sono solo due ragioni per cui posso pensare:
- Si trovano nel bel mezzo di una modifica del certificato che non è ancora stata propagata a tutti i server con bilanciamento del carico. Questo sembra improbabile dato che è in corso da un po 'di tempo, ed è quasi un anno fino alla scadenza del primo certificato.
- Sono un uomo-in-the-middled. Sembra improbabile.
Perché Facebook farebbe questo, tranne che per rendere la gente paranoica ancora più paranoica? Ricordo anche che Google ha offerto molti certificati SSL diversi mezzo anno fa circa.
Modificato per chiarire la mia preoccupazione: Facebook apparentemente si aspetta che i suoi utenti accettino uno qualsiasi dei diversi certificati che fornisce, e non. Se un utente malintenzionato doveva estrarre il certificato da una server farm, poteva quindi utilizzarlo per MITM un utente su quella o su qualsiasi altra server farm, poiché gli utenti non sono interessati alle modifiche del certificato. Il modo tradizionale per evitare questo è di fare in modo che gli utenti diffidino delle inesplicabili modifiche ai certificati.
Normalmente, un utente avrebbe solo bisogno di sapere se il certificato attuale era vicino alla scadenza. In questo caso, avrebbe bisogno di mantenere un elenco di certificati attualmente utilizzati e anche di sapere se Facebook ha appena creato una nuova server farm da qualche parte. C'è un modo per un utente di convalidare le proprie preoccupazioni su un nuovo certificato? Posso solo vedere questo diminuendo la sicurezza del sito.
Per riferimento, le impronte digitali SHA1 dei tasti sono D3:81:DE:E3:2C:9C:C9:F7:B6:6F:EE:41:1E:64:27:80:21:76:D0:BC
e 63:08:84:E2:79:CB:11:07:F1:FB:8A:6B:11:A6:4D:1B:14:76:3F:8E
.