它是否仅通过 hashsum 在本地控制,还是浏览器联系 CA 的网络服务器来验证证书?
答案1
浏览器将在本地缓存各种根证书颁发机构的公钥。如果您使用 Windows,您偶尔会看到名称中包含“根证书”的更新,这就是它。对于有效证书,层次结构可以一直追溯到有效根 CA 的公钥,可能通过多个经销商。
可以自行签署证书,第一次使用此类证书访问网站时,您会收到一条警告,并询问您是否希望继续以及是否要将密钥添加到浏览器内的受信任密钥列表中,这样可以停止再次出现警告 - 并且如果密钥发生变化,您会被告知。
答案2
CRL 或证书吊销列表非常重要。颁发的证书可能对浏览器有效,因为浏览器信任证书的根 CA(证书颁发机构)。但 CA 始终可以吊销其颁发的证书。浏览器知道证书已被吊销的唯一方法是检查 CRL。证书通常带有 CRL 的地址,但默认情况下,并非所有浏览器都关心 CRL 列表是否可用。我记得至少有一个版本的 IE 只是假设,如果它是有效颁发的证书,那么如果它无法正确联系 CRL,那就足够了。也就是说,如果我看不到您是否被吊销,我就会假设没有。