Как работает процесс проверки подписи сертификата в TLS?

Процесс проверки подписи сертификата в TLS включает несколько шагов: neerc.ifmo.ru

1. Центр сертификации создаёт отпечаток сертификата, который по сути является контрольной суммой. neerc.ifmo.ru Затем он формирует подпись сертификата путём шифрования отпечатка приватным ключом центра сертификации. neerc.ifmo.ru
2. Для проверки сертификата сервера клиент использует публичный ключ центра сертификации, чтобы расшифровать подпись. neerc.ifmo.ru
3. Клиент самостоятельно считает отпечаток сертификата сервера и сверяет его с расшифрованным. neerc.ifmo.ru Если они не совпадают, то сертификат был подделан. neerc.ifmo.ru

Для расшифровки подписи у клиента должен быть публичный ключ центра авторизации. neerc.ifmo.ru Поэтому клиент хранит у себя список публичных ключей подтверждённых центров сертификации. neerc.ifmo.ru

Кроме того, клиент проверяет цепочку сертификатов, чтобы убедиться, что сертификат происходит от одного из корневых сертификатов в хранилище доверенных сертификатов. tproger.ru Также проверяется срок действия сертификата и его статус отзыва. tproger.ru

Если все проверки пройдены, можно быть уверенным, что окончательный сертификат веб-сайта принадлежит владельцу этого домена. crypto.stackexchange.com