Não, neste caso você não precisa se preocupar. Seu download foi feito do mesmo servidor, de propriedade da Mozilla Foundation. Não confie nisso da próxima vez!
Como você pode dizer que estava seguro hoje? Ao usar o Chrome, você fica bem:
You attempted to reach en-us.add-ons.mozilla.com, but instead you actually reached a server identifying itself as addons.mozilla.org.
Ao acessar o link , você verá que parece o mesmo. Os servidores da Web podem responder a vários domínios com o mesmo conteúdo. Mas é claro, alguém poderia ter copiado a aparência para outro servidor. Felizmente, no seu caso você pode dizer que ambos os domínios se referem ao mesmo servidor, (hoje) usando o endereço IP 63.245.216.132 para IPv4:
$ host addons.mozilla.org
addons.mozilla.org is an alias for addons.dynect.mozilla.net.
addons.dynect.mozilla.net has address 63.245.216.132
addons.dynect.mozilla.net has IPv6 address 2620:101:8020:5::2:132
$ host en-us.add-ons.mozilla.com
en-us.add-ons.mozilla.com is an alias
for addons-mozilla-org.mktns.services.phx1.mozilla.net.
addons-mozilla-org.mktns.services.phx1.mozilla.net has address 63.245.216.132
Portanto, apesar de ignorar o aviso, neste caso você baixou do servidor esperado.
Os certificados são todos baseados em confiança: você confia no seu navegador, o seu navegador confia em algumas "autoridades de certificação" e as empresas vendem certificados para proprietários de sites. Para uma melhor confiança, a autoridade de certificação deveria ter solicitado alguma prova de que o (s) domínio (s) são de fato de propriedade do comprador. (Se não, então se alguém é capaz de mexer com servidores DNS e poderia comprar um certificado para um domínio que eles realmente não possuem, então eles podem enganar o seu navegador para aceitar isso sem qualquer aviso.No caso do Mozilla, é mesmo um Extended Validation Certificate , então a confiança é alta.)
E o mais importante: os proprietários de sites sabem que devem manter as partes secretas de seus certificados muito seguras. Sem essa parte secreta, outro site não pode usar o certificado de outra pessoa. Portanto, en-us.add-ons.mozilla.com não pode mostrar um certificado que diz que é addons.mozilla.org , a menos que os segredos tenham sido comprometidos, ou a menos que os dois sites simplesmente tenham o mesmo proprietário ou mesmo se refiram ao mesmo servidor.
Assim, a menos que a confiança de ambos DNS e o certificado fiquem comprometidos: se um servidor informar ao seu navegador que ele é conhecido como addons.mozilla.org , então isso é verdade. No seu caso, o servidor do qual você fez o download é conhecido como addons.mozilla.org e mozilla.org é de propriedade do Fundação Mozilla.
Agora, o Mozilla poderia ter comprado um certificado que lista ambos os domínios como sendo válidos para esse servidor único (usando o chamado Subject Alternative Name ). Mas eu acho que você acabou de usar um domínio antigo, e a Mozilla está esperando que todos usem o novo, e, portanto, não se incomodou em obter o domínio antigo no certificado também.
Então, da próxima vez?
-
Mesmo que não haja avisos, verifique sempre o URL. Um navegador pode aceitar um certificado para, por exemplo,
your-bank.something.comsem avisar você . Mas, em seguida, tenha cuidado ao visitar um subdomínio desomething.com, nãoyour-bank.com. -
Se você receber um aviso, verifique se o site para o qual o certificado diz que o certificado é válido é realmente o site que você está procurando. Se a opção
your-bank.comfizer seu navegador avisá-lo de que o certificado é deyour-bank.something.com, verifique se você realmente pode confiar emsomething.com. Isso pode indicar que o DNS foi de alguma forma comprometido e seu navegador conectado ao servidor errado.