通信--浏览器如何验证CA证书

浏览器如何验证 CA 证书?

1. 首先浏览器读取证书中的证书所有者、有效期等信息进行校验，校验证书来源的网站域名是否与证书中记录的颁发域名一致，校验证书是否在有效期内(校验证书所有者、证书是否过期)。

2. 浏览器开始查找操作系统中已内置的受信任的证书发布机构 CA，与服务器发来的证书中的颁发者 CA 比对，用于校验证书是否为合法机构颁发(校验 CA 机构)。

3. 客户端用内置的 CA 颁发机构的公钥解密证书的数字签名，得到证书明文的 hash；将证书明文用一样的方法(证书里有说明签名算法)计算出hash。两个hash值一样证书才合法。