Los autores de la página a la que se refiere no entienden algunos conceptos básicos y hacen afirmaciones falsas. Debido a eso, no creo que deba tomar ninguna declaración o conclusión de este artículo de verdad. Algunos ejemplos:
Este certificado se identifica a sí mismo (a través del campo CN) como * .google.com a pesar de haber sido servido durante una sesión putativa con google.fr (una vez más, este tipo de mala configuración obvia del certificado es casi imposible de imaginar si Google lo hace en sistemas de producción) :
Mientras que el certificado que citan tiene *.google.com
como CN, ya que declaran correctamente que no reconocen que el certificado contiene *.google.fr
en la sección de nombres alternativos del sujeto (SAN). Y, obviamente, los autores no saben que si esta sección está presente y contiene nombres de DNS como en este caso, los navegadores ni siquiera deberían mirar la CN, sino solo la SAN. Esto significa que el certificado coincide con el servidor y que la cadena de confianza también es correcta, por lo que no es de extrañar que el navegador no se queje de ello.
Sin embargo, es notable que la conexión no parece representar un certificado de clase EV. En otras palabras, no hay un 'candado verde' como vemos en ninguno de los otros servicios de Google. Por ejemplo: ...
No sé a qué "otros servicios" se refieren, pero ni google.com ni youtube.com usan certificados EV.
En resumen: hay varios errores obvios en este artículo. Por lo tanto, recomiendo simplemente ignorar cualquier afirmación y conclusión hecha en este artículo porque los autores no parecen entender de qué están hablando.
Editar: acabo de descubrir que este artículo también está muy criticado en enlace