Gli autori della pagina a cui ti riferisci non riescono a capire alcuni concetti di base e fanno affermazioni altrimenti false. Per questo motivo non penso che dovresti prendere dichiarazioni o conclusioni da questo articolo per davvero. Alcuni esempi:
This certificate identifies itself (via CN field) as *.google.com despite being served during a putative session with google.fr (again, this kind of obvious certificate misconfiguration is all but impossible to imagine google doing in production systems):
Mentre il certificato che citano ha *.google.com
come CN in quanto correttamente dichiarano di non riconoscere che il certificato contiene *.google.fr
nella sezione dei nomi alternativi di soggetto (SAN). E ovviamente gli autori non sanno che se questa sezione è presente e contiene nomi DNS come in questo caso, i browser non dovrebbero nemmeno guardare il CN ma solo nella SAN. Ciò significa che il certificato corrisponde al server e anche la catena di fiducia è corretta, quindi non c'è da meravigliarsi se il browser non si lamenta di ciò.
However, it's notable that the connection does not appear to represent an EV-class certificate. In other words, there's no 'green lock' as we see in any of google's other services. For example: ...
Non so quali "altri servizi" fanno riferimento, ma né google.com né youtube.com utilizzano i certificati EV.
In breve: ci sono diversi errori evidenti in questo articolo. Pertanto raccomando semplicemente di ignorare qualsiasi affermazione e conclusione fatta in questo articolo perché gli autori non sembrano capire di cosa stanno parlando.
Modifica: ho appena scoperto che questo articolo è anche strongmente criticato in link