Pido disculpas si este no es el mejor lugar para hacer mi pregunta en la red de Stack Exchange, no pude averiguar dónde obtener suficiente atención y ser relevante.
Facebook proporciona un host SSL, al que se puede acceder mediante enlace . Básicamente, como lo entiendo, los cambios en el certificado solo deben ocurrir cuando se va a eliminar el certificado anterior. Sin embargo, Perspectives (un complemento para Firefox, que comprueba las huellas dactilares de muchos servidores) encuentra inconsistencias en las huellas dactilares de Facebook. Estoy preocupado y me gustaría conocer su opinión sobre este asunto.
EDIT:explicacióndelacapturadepantalla
Lacolumnadeclavenotariayactualenumeratodoslosservidoresqueintentaronaccederawww.facebook.com,yquéhuelladigitalencontraronenelcertificadodelhost.Elhistorialdeclavesmuestraloscambiosclaveduranteunperíodode30días.Porlotanto,podemosconjeturarque:
- Anivelmundial,seproducencambiosenelcertificado
- Uncertificado(azul)pareceserelcertificadoprincipal
- Losotrosloreemplazanavecesysonbastantesospechosos
¿PorquéFacebookcambiaríasucertificadodeestamanera?¿Esunaprácticacomún/segura?
EntiendoquelasPKIconautoridadesdecertificaciónnosonmuyseguras,séqueesfácilparaalgunaspersonas(yaseanricas,poderosasoconocedoras)obteneruncertificadoparaeldominioquedeseen.Peroantesdepasaraserparanoico,deseosabersihayunaexplicaciónlógicaquenotenganadaqueverconlaseguridad.
Amododecomparación,aquíestánlosresultadosnotarialespara
Los cambios en el certificado se producen con regularidad, sin embargo, la clave del navegador solo se puede ver una vez en un período de 30 días. Empiezo a pensar que nada es realmente sospechoso, pero estas prácticas parecen socavar la utilidad de la perspectiva y requieren que los usuarios confíen en las corporaciones. Deben al menos proporcionar algún tipo de explicación para esto y, por qué no, una lista de sus huellas digitales de certificado.
Bounty: Me gustaría ver algunas referencias sobre un sistema así, seguramente es posible encontrar una especificación o documento que recomiende dicha configuración con múltiples certificados dentro de un mismo grupo regional, como parece ser el caso de Facebook. Además, si existen otras teorías creíbles, compártelas.
Hechos establecidos
Gracias a las respuestas y comentarios en este hilo, podríamos resolverlo:
- De hecho, Facebook tiene certificados diferentes
- Incluso detrás de una única IP (equilibrador de carga)
- Revocar un certificado y reemplazarlo sería más fácil de esta manera
BUT
- ¿Esto mejora la seguridad?
- Mantener un registro de qué servidor tiene qué certificado parece tedioso, ¿realmente vale la pena este método? Ni siquiera es escalable, ya que los certificados son diferentes dentro de un solo clúster regional
- ¿Qué tal si solo se mantienen los certificados de repuesto en caso de una fuga? Mantenerlos en lugar de desplegarlos a todos parece mejor desde el punto de vista de la seguridad: si se filtró uno, ¿por qué no los otros?
EDITAR: respuesta aceptada
Refiérase a la respuesta y comentarios aceptados, veo las cosas más claramente. Me ayudó a comprender las razones detrás de tal configuración, las implementaciones de la vida real pueden no ser tan simples como originalmente pensé. Me parece triste que el complemento de perspectiva sea casi inútil en tales ocasiones, pero no puedo esperar que Facebook se preocupe por esto, no tiene sentido para casi todos. Gracias a todos por su aporte.