在过去的几个月里,我一直在使用 Firefox 插件Certificate Patrol来观察网站 SSL 证书的变化——以便知道我是否被 MTIMed,否则 SSL 无法提供任何保护。
然而,几乎每次我访问谷歌或任何使用谷歌分析或谷歌 CDN 脚本的网站时,我都会收到关于谷歌 SSL 证书和证书颁发机构已更改的警告。(我偶尔会在 Facebook 等其他网站上看到这个,但不是那么频繁。)
为什么他们的证书变化如此频繁?这不是每次,但肯定是一天很多次。
它的用途是什么?这显然使得无法检测到 MTIM,这是一个很大的缺点......
答案很可能是他们只是在其网络上的不同服务器上拥有不同的证书,而您每隔一段时间就会被路由到不同的服务器。
这是简化部署和提高安全性的常见做法——他们不必为(全球)网络中的每台机器和负载均衡器复制相同的证书。当您处于 Google 的规模时,这是一件好事。证书的每个副本都会增加泄露的风险,但如果泄露的证书仅用于一台、两台或少数几台服务器,他们可以撤销它并继续前进。
这也是他们拥有自己的(中间)CA 的原因,以便他们可以根据需要为自己颁发新证书。
另请参阅Facebook 做同样的事情。
“前向保密”;他们会即时生成新证书,而不是多年来重复使用相同的证书...请参阅http://googleonlinesecurity.blogspot.com/2011/11/protecting-data-for-long-term-with.html?m=1