它是仅通过哈希函数本地控制的,还是浏览器联系CA的Web服务器来validation证书?
浏览器将在本地高速caching各种根权限的公钥。 如果你使用Windows,偶尔会在名称中看到“根证书”的更新,就是这样。 对于有效的证书,层次结构可以一直追溯到有效根CA的公钥,可能通过多个经销商。
可以自签名证书,第一次访问带有此类证书的网站时,您将收到警告,并会询问您是否希望继续,如果您想将密钥添加到可信密钥列表中浏览器,这停止警告再次发生 – 你会被告知是否更改密钥。
CRL或证书撤销清单非常重要。 由于浏览器信任证书的根CA(证书颁发机构),因此根据浏览器颁发的证书可能有效。 但是CA始终可以撤销发放的证书。 浏览器知道它被吊销的唯一方法是检查CRL。 证书通常带有CRL的地址,但是默认情况下,如果CRL列表可用,并非所有浏览器都在意。 我记得至less有一个版本的IE只是假定它是一个有效的证书,如果它不能正确地联系到CRL就足够了。 也就是说,如果我不能看到你是否被撤销,我只会假设不。