HTTPS：浏览器如何验证数字证书

在浏览器的视角下，HTTPS连接的建立过程实际上是浏览器和服务器之间一系列复杂的握手过程。在这个过程中，浏览器扮演了重要的角色，它需要验证服务器的数字证书以确保通信的安全。验证数字证书主要包含三个关键步骤：验证证书的有效期、验证证书是否被吊销以及验证证书是否由合法的CA机构颁发。

1. 验证数字证书的有效期

数字证书里面包含了证书的有效期，浏览器只需要判断当前时间是否在有效期内即可。如果当前时间在证书的有效期内，那么证书就是有效的。反之，如果当前时间已经超过了证书的有效期，那么浏览器就会拒绝与服务器建立连接，因为这样的证书已经失效了。

1. 验证数字证书是否被吊销

虽然证书的有效期是判断证书是否有效的基本条件，但是这并不足以保证证书的安全性。因此，浏览器还需要验证数字证书是否被吊销。具体来说，浏览器会下载一个被吊销证书的列表，然后在线验证服务器证书的指纹是否在这个列表中。如果在列表中找到了服务器的证书指纹，那么浏览器就会拒绝与服务器建立连接，因为这张证书已经被吊销了。

1. 验证数字证书是否由合法的CA机构颁发

验证了证书的有效期和是否被吊销之后，浏览器还需要验证数字证书是否由合法的CA机构颁发。在这个过程中，浏览器首先会利用数字证书的原始信息计算出一个信息摘要，然后利用CA的公钥来解密数字证书中的数字签名，解密出来的数据也是信息摘要。最后，浏览器会判断这两个信息摘要是否相等。如果相等，那么就说明这张证书是由合法的CA机构颁发的。如果不相等，那么就说明这张证书可能已经被篡改或者是由一个非法的CA机构颁发的。

那么，浏览器是如何获取CA的公钥的呢？其实，当部署HTTPS服务器的时候，除了要部署当前域名的数字证书之外，还需要部署CA机构的数字证书。CA机构的数字证书包括了CA的公钥以及CA机构的一些基础信息。因此，服务器就有了两个数字证书：一个是给域名使用的数字证书，另一个是给CA机构使用的数字证书。当建立HTTPS连接时，服务器会将这两个证书一同发送给浏览器，这样浏览器就可以获取到CA的公钥了。

通过以上三个步骤，浏览器就能有效地验证数字证书的有效性和安全性。这也正是HTTPS能够提供安全通信的关键所在。