In altre parole, se l'autorità di certificazione scende, significa che anche tutti i siti HTTPS che hanno acquistato certificati SSL da questa CA non saranno più disponibili?
Kinda. Il browser verifica che il certificato sia stato emesso dalla CA senza contattare la CA. Ma il certificato potrebbe essere stato revocato da allora, ad esempio perché la chiave privata del sito è trapelata. Per verificare che il certificato non sia stato revocato, il browser deve contattare il sito CRL o OCSP della CA. Se quelli sono giù, non c'è modo di sapere se il certificato è stato revocato. In pratica, poiché mantenere tali siti in alto è costoso, essi sono spesso inattivi e i browser moderni non controllano o cercano di verificare, ma non falliscono la connessione se la CA non è raggiungibile. Quindi un certificato continuerà a funzionare se la sua CA non funziona. Se la CA si arresta in modo permanente, non è possibile revocare il certificato, che è un problema.
Per risolvere i problemi di scalabilità con CRL e OCSP, è stata inventata la graffatura OCSP. Il sito stesso contatta la CA una volta al giorno per ottenere una nota firmata che recita "in questo momento, il certificato non è stato revocato" e passa questa nota firmata al browser. Questo lascia una finestra di un giorno durante il quale il certificato potrebbe essere stato revocato e il tuo browser non sospetterà nulla, che è meglio di quello che abbiamo ora.
No. Il certificato di origine della CA viene generalmente installato nell'archivio certificati del client. Quando il cliente effettua una richiesta di handshake, riceve il certificato dal sito (che chiamerò esempio.com). Il cert per esempio.com includerà un certificato radice e possibilmente un certificato intermedio, e il client (in questo caso, il browser) controllerà il suo archivio cert per vedere se contiene il certificato radice.
In sostanza, se il sito Web della CA non funziona, non ha alcun effetto sui siti che hanno acquistato certificati dalla CA.
Leggi altre domande sui tag tls certificate-authority