Przeglądarka internetowa zawiera listę zaufanych certyfikatów głównych. Są to klucze publiczne urzędów certyfikacji. Przeglądarka mówi, że możesz zaufać, że klucze prywatne tych urzędów są w rzeczywistości prywatne i że wszystko, co zostało zaszyfrowane przez jeden z tych kluczy prywatnych - w tym za rzekomy certyfikat serwera sieciowego - rzeczywiście pochodzi z urzędu certyfikacji.
Certyfikat zawiera klucz publiczny serwera internetowego oraz adres serwera WWW (i nazwę firmy itp.), Zaszyfrowany kluczem prywatnym urzędu certyfikacji. Szyfrowanie odbywa się raz, gdy właściciel strony internetowej kupił certyfikat od urzędu certyfikacji. Następnie właściciel strony internetowej przechowuje certyfikat pod ręką, aby wysłać go po zgłoszeniu https.Ponieważ przeglądarka może używać klucza publicznego urzędu certyfikacji (który był już na komputerze) do odszyfrowania certyfikatu wysłanego przez serwer sieci Web i widzi w odszyfrowanym certyfikacie, że certyfikat zawiera adres hosta zgodny z hostem obsługującym https, przeglądarka stwierdza, że klucz publiczny hosta (deszyfrowany przy użyciu klucza publicznego urzędu certyfikacji) jest autentyczny. Certyfikat wydany rutynowo przez hosta internetowego może pochodzić od przypadkowej osoby podszywającej się pod hosta, ale przynajmniej możesz mieć pewność, że zawiera on autentyczny klucz publiczny hosta obsługującego https, z którym chcesz się komunikować.
Następnie można przesłać dane (takie jak numer karty kredytowej) zaszyfrowane za pomocą klucza publicznego hosta, a tylko klucz prywatny hosta będzie w stanie odszyfrować dane. Podczas transakcji nie była wymagana żadna komunikacja z urzędem certyfikacji.
Certyfikat dostarczony przez urząd certyfikacji jest instalowany na serwerze sieciowym (na przykład IIS) i mapowany do aplikacji internetowej. Nie rozumiem, dlaczego przeglądarka łączyłaby się z urzędem certyfikacji. – Cerebrus