Ssl 浏览器如何解密自签名证书？

我做了一些关于浏览器如何使用CA签名证书的研究。浏览器附带了受信任CA的公钥列表。当浏览器收到CA签名的证书时，浏览器将使用受信任CA的公钥对证书进行解密，以获取服务器的公钥

我对浏览器如何使用自签名证书感到困惑。自签名证书由服务器的私钥签名。当浏览器收到自签名证书时，浏览器如何在不知道公钥的情况下解密证书以获取公钥

当浏览器收到CA签名的证书时，浏览器将使用受信任CA的公钥对证书进行解密，以获取服务器的公钥

浏览器不会解密证书以获取公钥。浏览器仅使用CA的公钥来验证证书的颁发者签名。看

当浏览器收到自签名证书时，浏览器如何在不知道公钥的情况下解密证书以获取公钥

同样，没有解密。但除此之外，浏览器无法检查自签名证书是否有效。自签名证书基本上是一个自称自己的人。与CA签名的证书相反，没有说这句话的可信第三方，只有证书本身的（不可信）所有者

因此，在浏览器中信任此类证书的唯一方法是，因为它被显式添加为受信任的证书，或者如果浏览器的用户在收到有关证书的警告后显式添加了异常

当浏览器收到CA签名的证书时，浏览器将使用受信任CA的公钥对证书进行解密，以获取服务器的公钥

浏览器不会解密证书以获取公钥。浏览器仅使用CA的公钥来验证证书的颁发者签名。看

当浏览器收到自签名证书时，浏览器如何在不知道公钥的情况下解密证书以获取公钥

同样，没有解密。但除此之外，浏览器无法检查自签名证书是否有效。自签名证书基本上是一个自称自己的人。与CA签名的证书相反，没有说这句话的可信第三方，只有证书本身的（不可信）所有者

---

因此，在浏览器中信任此类证书的唯一方法是，因为它被显式添加为受信任的证书，或者如果浏览器用户在收到有关证书的警告后显式添加了异常。

公钥是证书的一部分。它未加密。公钥是证书的一部分。它不是加密的。与CA签名证书相反，您信任CA签名证书的唯一原因是您确实信任CA浏览器中的自签名根证书实际上是CA的根证书。最终，信任链必须建立在信任之上：“是的，我相信谷歌的CA就是他们所说的那个人，因为他们把他们的公共证书放在了Chrome上。“没有太多人真正经历过验证这一点的麻烦。@AndrewHenle:根CA是随浏览器或操作系统提供的，也就是说，它们不是突然出现的。当然，这可能会有问题，但是可能会有操作系统的问题，浏览器的问题，证书验证中的错误…-最后，一切都建立在信任的基础上，相信别人会做正确的事情。但这在“现实生活”中是真实的，即食品安全，如果信号为绿色等，则穿过街道。与CA签名证书相反，但您信任CA签名证书的唯一原因是您确实信任CA浏览器中的自签名根证书实际上是CA的根证书。最终，信任链必须建立在信任的基础上：“是的，我相信谷歌的CA就是他们所说的那个人，因为他们把他们的公共证书放在了Chrome上。“没有太多人真正经历过验证这一点的麻烦。@AndrewHenle:根CA是随浏览器或操作系统提供的，也就是说，它们不是突然出现的。当然，这可能会有问题，但是可能会有操作系统的问题，浏览器的问题，证书验证中的错误…-最后，一切都建立在信任的基础上，相信别人会做正确的事情。但这在“现实生活”中是真实的，即食品安全、绿灯时过街等。