Como um certificado SSL é validado?

O navegador terá as chaves públicas de várias autoridades raiz armazenadas em cache localmente. Se você usa o Windows, você ocasionalmente vê uma atualização com 'certificados raiz' no nome, é o que é. Para um certificado válido, a hierarquia pode ser rastreada até a chave pública de uma CA raiz válida, possivelmente por meio de vários revendedores.

É possível autografar um certificado e, na primeira vez que você acessa um site com esse certificado, você receberá um aviso, e ele perguntará se deseja continuar e se deseja adicionar a chave à lista de certificados. chaves confiáveis dentro do navegador, isso interrompe o aviso novamente - e você será informado se a chave muda.

CRL ou Lista de Revogação de Certificados é muito importante. Um certificado emitido pode ser válido de acordo com um navegador porque o navegador confia na CA raiz (Autoridade de Certificação) do certificado. Mas a autoridade de certificação sempre pode revogar um certificado emitido. A única maneira que um navegador saberia que foi revogado seria verificar a CRL. Os certificados geralmente vêm com um endereço da CRL, mas, por padrão, nem todos os navegadores se importam se a lista da CRL está disponível. Lembro-me de que pelo menos uma versão do IE apenas presumiu que, se fosse um certificado válido, isso seria suficiente se não conseguisse contatar a CRL corretamente. Isto é, se eu não posso ver se você é revogado ou não, eu apenas assumirei que não.