私は x.509 証明書を読んでいますが、プロセス全体がどのように機能するのかよくわかりません。
これが私が理解している方法です。CAは証明書を作成する会社です。銀行の Web サイトなど、それを使用したい人は CA に連絡し、サイトの秘密鍵によってのみ復号化できる Web サイトのメッセージをエンコードするための公開鍵を含む証明書を購入します。
これは私が混乱する場所です-ユーザー(一部のWebブラウザー)は、受け取った証明書が実際に真実であり、実際に正しいサイトからのものであることをどのように確認しますか? それがまだ有効であることをどうやって知るのですか?すべてが正常であることを確認するために、どのようなチェックが行われますか?
CA は、サーバー (銀行の Web サイト) の証明書に署名するだけでなく、ルート CA (署名された証明書を持つ CA) によって署名された独自の証明書も持っています。ルート CA は、その証明書を信頼できるルート証明書のセットに含めるブラウザ ベンダーに提供します。
すべては「信頼の連鎖」の考え方に基づいています。証明書に署名するということは、「私 (ルートまたは中間 CA) を信頼するなら、彼 (中間 CA またはサーバー) を信頼できる」ということです。ブラウザーは、サーバー (銀行の Web サイト) を信頼できるかどうかを確認するために、ルート CA (証明書を持っている) を信頼するだけで済みます。https://en.wikipedia.org/wiki/Chain_of_trustを参照してください
セキュリティ違反 (秘密鍵の盗難など) などにより、証明書が無効になる場合があります。このようなイベントは、この情報を公に提供する CA に通知されます。ブラウザーは、証明書失効リスト (CRL) または Online Certificate Status Protocol (OCSP) によってこの情報にアクセスできます。ブラウザーは、まだ有効であることが確認できない証明書を受け入れないように構成する必要があります。https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocolを参照してください