Lo siento por ser noob, pero no confío en que entiendo esto correctamente y me gustaría que alguien me confirme y me ayude a entender.
Esta publicación me ayudó mucho a entender cómo el navegador verifica el certificado HTTPS ( Marco de certificados SSL 101: ¿Cómo verifica realmente el navegador la validez de un certificado de servidor determinado? )
Aquí está mi entendimiento, corríjame si me equivoco.
1) Cómo funciona la cadena de confianza: La respuesta en la publicación describió la cadena de confianza y cómo se puede validar cada certificado utilizando una clave pública de certificado de nivel superior para verificar el certificado de identidad.
Se puede confiar en el certificado de identidad, ya que la clave pública del certificado intermedio puede descifrar el certificado de identidad. Se puede confiar en el Certificado Intermedio, ya que la Clave Pública del Certificado Intermedio puede ser descifrada por el Certificado Raíz.
2) Pero entonces, ¿cómo confía el navegador en la CA raíz?
¿Entiendo que el certificado de CA raíz se envía con el sistema de navegador / aplicación / sistema operativo? Entonces, al verificar la CA raíz, comparamos la clave pública y la firma digital del certificado de la CA raíz que se ha incorporado en el navegador o en el sistema operativo.
3) El certificado de CA raíz instalado también tiene un tiempo de caducidad, tiene 20 años. Cuando caducó, ¿cómo verifica el sistema de sistema operativo / navegador el certificado de CA raíz? Solo rezaremos para que el navegador obtenga un nuevo certificado de CA raíz instalado en nuestro sistema antes de que caduque.
es decir: Ejemplo de CA raíz de * .google.com
