Cosa conserva il browser, la copia della CA o la chiave pubblica di CA?

If browser uses public key of CA, why does It keep complete certificate?

Quando si crea la catena di affidabilità dal certificato foglia del server al certificato CA radice locale, il browser visualizza il certificato successivo nella catena cercando un certificato in cui il soggetto corrisponda all'emittente dell'ultimo certificato nella catena. Pertanto non è sufficiente avere solo la chiave pubblica della radice ma occorre anche l'oggetto del certificato di root.

and how browser decrypt key from CA certificate? isn't encrypted?

No, il certificato non è crittografato e contiene la chiave pubblica in chiaro. L'idea principale della crittografia a chiave pubblica è che la chiave pubblica è pubblica e solo la chiave privata deve essere segreta. Pertanto la chiave pubblica può essere contenuta in chiaro nel certificato.

Quindi le informazioni in un certificato non sono crittografate. un certificato per definizione è pubblico e in termini semplici contiene informazioni per identificare il proprietario. Potresti prendere in considerazione un certificato come il tuo passaporto.

Contiene anche la chiave pubblica, in un certo senso stai pubblicando la tua chiave pubblica in modo che altri possano crittografare i messaggi. Una firma è un hash crittografico ma non crittografico. Il certificato del server è firmato dalla CA, il che significa che la CA controlla i contenuti della richiesta di certificato del server crea un HASH e lo firma.

È necessaria la chiave pubblica della CA per verificare la firma, ovvero assicurarsi che la firma sia valida in base ai calcoli dell'hash. Il certificato CA viene anche utilizzato dal browser per convalidare i controlli di revoca. Un browser dovrebbe richiedere alla CA se il numero ID del certificato è stato revocato.