Ci scusiamo per la noob, ma non ho la certezza che lo capisco correttamente e vorrei che qualcuno mi dia conferma e mi aiuti a capire.
Questo post mi ha aiutato molto a capire in che modo il browser verifica il certificato HTTPS ( Quadro dei certificati SSL 101: in che modo il browser verifica effettivamente la validità di un determinato certificato del server? )
Ecco la mia comprensione, correggimi se sbaglio.
1) Come funziona la catena di fiducia: La risposta nel post ha descritto la catena di fiducia e come ogni certificato può essere convalidato utilizzando la chiave pubblica del certificato di livello superiore per verificare il certificato di identità.
Il certificato di identità può essere considerato affidabile, in quanto la chiave pubblica del certificato intermedio può decrittografare il certificato di identità. Il certificato intermedio può essere considerato affidabile, in quanto la chiave pubblica del certificato intermedio può essere decodificata dal certificato radice.
2) Ma in che modo il browser si fida della CA radice?
La mia comprensione è che il certificato CA root è fornito con il browser / app / sistema operativo? Quindi, quando si verifica la CA radice, confrontiamo la chiave pubblica e la firma digitale del certificato CA root che ha incorporato nel browser o nel sistema operativo?
3) Il certificato CA root installato ha anche un tempo scaduto, è lungo 20 anni. Alla scadenza, in che modo il sistema browser / sistema operativo verifica il certificato della CA principale? Preghiamo solo che il browser ottenga il nuovo certificato CA root installato nel nostro sistema prima che scada?