Facebook parece estar sirviendo alternativamente dos certificados SSL, uno de DigiCert y otro de VeriSign. Solo puedo pensar en dos razones:
- Están en medio de un cambio de certificado que aún no se ha propagado a todos sus servidores con equilibrio de carga. Esto parece poco probable ya que ha estado ocurriendo por algún tiempo, y es casi un año hasta que expira el primer certificado.
- Estoy siendo un hombre en el medio. También parece poco probable.
¿Por qué Facebook haría esto, excepto para hacer que las personas paranoicas sean aún más paranoicas? También recuerdo que Google sirvió muchos certificados SSL diferentes hace aproximadamente un año o más.
Editado para aclarar mi preocupación: Facebook aparentemente espera que sus usuarios acepten cualquiera de los diferentes certificados que suministra, y no. Si un atacante extrajera el certificado de una granja de servidores, entonces podría usarlo para MITM, un usuario en esa o en cualquier otra granja de servidores, ya que se espera que los usuarios no se preocupen por los cambios de certificado. La forma tradicional de evitar esto es que los usuarios tengan cuidado con los cambios inexplicables de certificados.
Normalmente, un usuario solo necesita saber si el certificado actual estaba a punto de caducar. En este caso, tendría que mantener una lista de los certificados utilizados actualmente y también debería saber si Facebook acaba de crear una nueva granja de servidores en algún lugar. ¿Hay alguna forma para que un usuario valide sus preocupaciones sobre un nuevo certificado? Solo puedo ver esto disminuyendo la seguridad del sitio.
Para referencia, las huellas digitales SHA1 de las claves son D3:81:DE:E3:2C:9C:C9:F7:B6:6F:EE:41:1E:64:27:80:21:76:D0:BC
y 63:08:84:E2:79:CB:11:07:F1:FB:8A:6B:11:A6:4D:1B:14:76:3F:8E
.