Почему сайт произвольно меняет ssl-сертификаты?

Question

[Dvobient]

Добрый день.

Ради интереса решил проверить, мог ли быть мой компьютер атакован посредством mitm-атаки, так как есть подозрение, что на ПК могли подменить корневой сертификат и соответственно злоумышленник выдает мне самоподписанные.

Нашел удобный сервис для проверки сертификатов: https://lospi.net/snuckme/
Для теста решил использовать google.com. Вбил адрес сайта и получил следующий результат:

После этого открыл хром и решил проверить валидность. В результате обнаружил отличающийся фингер принт.

Вернулся опять на сайт для проверки, запросил сертификат повторно, в итоге, получил уже третий сертификат:

Почему они каждый раз отличаются? Почему у них разные даты действия?

Потестил дальше. Подобное поведение наблюдается только у Гугла, на других сайтах (Мэил, Яндекс) сертификаты статичны. А вот гугл удивляет, разве смысл сертификата не в том, чтобы быть одинаковым у всех?
Понимаю, вероятно есть какой-то способ привязать несколько сертификатов, но как мне тогда гарантированно убедится, что сертификат валиден?
Возможно стоит смотреть не фингер принт?

Comments

[Saboteur]

так у гугла серверов то много.

Answer 1

[Борис Сёмов]

Сертификатов у сайта может быть больше одного. И все могут быть валидны. Они могут быть, например, развёрнуты на разных точках входа, там их 6 штук, только в разрезе ip адресов.... В общем, всё тут ок.

"разве смысл сертификата не в том, чтобы быть одинаковым у всех?" Нет, смысл в возможности его проверки по цепочке доверия.

То, что вы хотите проверить, проверяется не так. Вам надо проверить хранилище корневых сертификатов, и посмотреть, нет-ли там чего лишнего, или импортировать заведомо корректный набор корневых сертификатов. А не тыкаться в произвольные сайты, у которых вполне может быть валидная цепочка доверия, ожидая, что когда-то попадётся какой-то где в трафик вмешались - совсем же не обязательно, что все запросы перехватываются.
Ну и смотреть не отпечаток, а цепочку доверия тогда уж - если есть подмена, будет какой-то левый корневой сертификат в начале.

Answer 2

[CityCat4]

есть подозрение, что на ПК могли подменить корневой сертификат

Ну так идете в хранилище корневых сертификатов и просматриваете все, пытаясь найти тот, который поставил злоумышленник. Гугл тут при чем? У него явно больше одного сервера, а у каждого сервера свой сертфиикат.

как мне тогда гарантированно убедится, что сертификат валиден?

Валидность сертификата - это проверка факта, что данный сертификат выпущен одним из CA, которые размещены в хранилище доверенных корневых сертификатов (ну еще проверка срока действия). И все.

Answer 3

[АртемЪ]

Почему они каждый раз отличаются?

Разные сервера, разные сертификаты. С чего бы им быть одинаковыми?

Почему у них разные даты действия?

Выданы в разное время.

разве смысл сертификата не в том, чтобы быть одинаковым у всех?

Смысл сертификата в том, чтобы подтверждать, что данный адрес принадлежит владельцу указанному в сертификате.

Понимаю, вероятно есть какой-то способ привязать несколько сертификатов,

Ну разумеется, ну не думаете же вы что компания Google может иметь один сертификат, и не более.
На каждый сервер по сертификату это вполне нормально.

как мне тогда гарантированно убедится, что сертификат валиден?

Так если он не валиден, он работать не будет.