Apenas alguns pontos para adicionar à resposta do @ Cheekaleak.
A Autoridade de Certificação (CA) é a entidade que emite um certificado para um servidor (entre outras coisas). Ao fazer isso, a CA assina com sua chave privada o conteúdo do certificado e adiciona sua assinatura.
Para indicar quem assinou o certificado, o certificado X.509 tem um Nome Distinto do Emissor nomeando a CA, além do Nome Distinto do Assunto identificando a entidade para a qual o certificado certificado é emitido.
As CAs possuem certificados de autoridade de certificação, ou seja, certificados que podem ser usados para emitir outros certificados (assinando o certificado emitido usando a chave privada correspondente à chave pública no certificado de autoridade de certificação e usando o DN de assunto do certificado de autoridade de certificação). cert Issuer DN). Isso cria uma hierarquia de CAs para End Entities (por exemplo, servidores) e pode haver certificados CA intermediários (por exemplo, um certificado CA usado para emitir outro certificado CA, que pode ser usado para emitir um certificado de entidade final). Os certificados de CA raiz na parte superior tendem a ser auto-assinados.
A maneira como os navegadores avaliam sua confiança em um determinado Certificado de Entidade Final (por exemplo, um certificado de servidor) é criando a cadeia de certificação entre o certificado EE e um certificado CA em que eles já confiam (âncoras confiáveis). A maioria dos sistemas operacionais / navegadores vem com um pacote de certificados confiáveis para o CA certs.
(O segundo aspecto disso é que o navegador verifica se o certificado EE foi emitido para o nome do servidor ao qual deseja se conectar.)
O principal problema deste modelo vem do fato de você realmente não saber por que deve confiar nos certificados de CA que são configurados por padrão com o software que você obtém, porque uma autoridade mal-intencionada ou mal gerenciada que teria sua autoridade de certificação. O certificado em suas âncoras confiáveis pode emitir um certificado com o nome do site legítimo.