¿Por qué el certificado SSL de Google cambia con tanta frecuencia?

Navega tus respuestas
7

Durante los últimos meses he estado usando el complemento de Firefox Certificate Patrol para Esté atento a los cambios en los certificados SSL de los sitios, para saber si estoy siendo MTIMed, contra el cual SSL de lo contrario no ofrece protección.

Sin embargo, casi cada vez que visito Google o cualquier sitio que usa Google Analytics o CDN de Google para las secuencias de comandos, recibo una advertencia sobre el certificado SSL de Google y la Autoridad de Certificación, que ha cambiado. (Ocasionalmente obtengo esto en otros sitios como Facebook, pero no tan a menudo).

¿Por qué su certificado cambia tan a menudo? No es cada vez , pero ciertamente es muchas veces al día.
¿Para qué sirve? Obviamente, hace que sea imposible detectar un MTIM, que es una gran desventaja ...

    
pregunta Caesar 31.08.2013 - 00:45
fuente

2 respuestas

11

Es probable que la respuesta sea que simplemente tengan diferentes certificados en diferentes servidores en su red, y que se enrute a uno diferente de vez en cuando.

Esta es una práctica común para simplificar la implementación y aumentar la seguridad. Entonces, no tienen que hacer una copia del mismo certificado para cada máquina y equilibrador de carga en su red (global). Cuando estás en la escala de Google, esto es algo bueno. Cada copia de un certificado aumenta el riesgo de compromiso, pero si un certificado comprometido solo se usa en uno, dos o un puñado de servidores, solo pueden revocarlo y seguir adelante.

También es la razón por la que tienen su propia CA (intermedia), para que puedan emitir nuevos certificados según sea necesario.

Vea también Facebook haciendo lo mismo .

    
respondido por el MattJ 31.08.2013 - 13:00
fuente
2

"Secreto hacia adelante"; generan nuevos certificados sobre la marcha en lugar de reutilizar el mismo por años ... Ver enlace

    
respondido por el KristoferA 31.08.2013 - 03:15
fuente

Lea otras preguntas en las etiquetas

¿Son vulnerables OATH TOTP y / o Google Authenticator si un atacante tiene (N) códigos anteriores? ¿Por qué los servicios web siguen preguntándome sobre mi número de teléfono?