1) Le autorità di certificazione sono solo un metodo per creare pki. I certificati pre-distribuiti da un canale laterale e Web of trust sono altri. La tua domanda dovrebbe essere: "Come possiamo fidarci delle autorità di certificazione?"
2) Non è così che funziona, ci si collega solo a verisign per verificare se il certificato è stato revocato. Il certificato proviene dallo stesso server al quale ci si connette e contiene la firma digitale di verisign con la chiave pubblica di verisigns distribuita con il browser Web o il sistema operativo (o entrambi). Nell'archivio certificati radice.
Per quanto riguarda la capacità di fidarsi delle autorità di certificazione, beh, è una grande domanda, ci sono delle regole che ogni produttore / sistema operativo di browser ha prima di consentire la chiave pubblica nell'archivio certificati radice. Lo stato delle regole richiedeva verifiche e regole su quando un certificato radice deve essere rimosso. DigiNotar era un ca olandese che aveva il certificato di root tirato. Tuttavia, spesso le persone che controllano le CA non vogliono ritirare quelle più grandi senza una prova del 100% poiché i siti Web che le utilizzano si interromperanno all'istante.
In definitiva abbiamo pochissimi altri modi per gestirlo alla scala attuale, anche se alcuni hanno provato a prototipare altre soluzioni come la convergenza .