Mi è stato chiesto "come fanno i browser a sapere se fidarsi o meno del certificato dal server a cui si sta collegando" e ho pensato che fosse una buona domanda. Dopo aver fatto qualche ricerca su google ho trovato due risposte:
Secondo questa persona a l'elenco delle autorità del contenuto root è incorporato nel sistema operativo e qualsiasi altra CA è attendibile (o meno) da quelle root.
Just so you know, Microsoft determines which Trusted Root CAs are automatically loaded into their operating system. It’s the same story with Apple.
Tuttavia, su Wikipedia, sembra che l'elenco delle CA di fiducia sia incorporato nel browser web:
The browser already possesses the public key of the CA and consequently can verify the signature, trust the certificate and the public key in it
Quindi qual è? Sia il sistema operativo che il browser sono dotati di un elenco integrato di autorità di certificazione attendibili e se un certificato è firmato da una voce in uno dei due elenchi è affidabile?