Perché il certificato SSL di Google cambia così frequentemente?

Naviga le tue risposte
7

Negli ultimi mesi ho utilizzato l'addon di Firefox Certificate Patrol per controlla le modifiche ai certificati SSL dei siti, in modo da sapere se sto eseguendo MTIM, rispetto al quale SSL non fornisce alcuna protezione.

Tuttavia, quasi ogni volta che visito Google o qualsiasi sito che utilizza Google Analytics o il CDN di Google per gli script, ricevo un avviso sul certificato SSL di Google e sull'Autorità di certificazione, che sono stati modificati. (Occasionalmente lo capisco su altri siti come Facebook, ma non così spesso.)

Perché il loro certificato cambia così spesso? Non è ogni momento, ma è certamente molte volte al giorno.
Che scopo serve? Ovviamente è impossibile rilevare un MTIM, che è uno svantaggio piuttosto grande ...

    
posta Caesar 31.08.2013 - 00:45
fonte

2 risposte

11

La risposta è probabile che abbiano semplicemente certificati diversi su server diversi sulla loro rete, e che vengano instradati a uno diverso ogni tanto.

Questa è una pratica comune per semplificare l'implementazione e aumentare la sicurezza, quindi non è necessario eseguire una copia dello stesso certificato su ogni macchina e bilanciamento del carico nella propria rete (globale). Quando sei su Google, questa è una buona cosa. Ogni copia di un certificato aumenta il rischio di compromissione, ma se un certificato compromesso viene utilizzato solo su uno, due o pochi server, è sufficiente revocarlo e andare avanti.

È anche il motivo per cui hanno la propria CA (intermedia), in modo che possano rilasciare nuovi certificati se necessario.

Vedi anche Facebook facendo la stessa cosa .

    
risposta data 31.08.2013 - 13:00
fonte
2

"Segreto preliminare"; generano nuovi certificati al volo invece di riutilizzare lo stesso per anni ... Vedi link

    
risposta data 31.08.2013 - 03:15
fonte

Leggi altre domande sui tag

Forma speciale del file system per impedire il recupero dopo la cancellazione sicura dei dati Che cosa ha GUID, che un hash Whirlpool, MD5 o SHA-2 non lo fa?