我的浏览器如何天生信任 CA？是否包含 CA 的硬编码公钥？

您的浏览器（可能还有您的操作系统）附带一个受信任的 CA 列表。这些预安装的证书充当信任锚，以从中获得所有进一步的信任。访问 HTTPS 网站时，您的浏览器会验证服务器在 TLS 握手期间提供的信任链是否以本地受信任的根证书之一结束。

如果是这样，为什么它不会过期？

根证书确实会过期，但它们的有效期往往非常长（通常约为 20 年）。您可以期望通过更新浏览器或操作系统，您将在旧的根证书过期之前获得新的根证书。

我在哪里可以看到浏览器本质上信任哪些 CA？

这取决于您的浏览器。如果可用，某些浏览器只会使用您操作系统的中央根证书存储。

对于 Mozilla Firefox，您可以在此处和此源代码文件中找到有关包含证书的信息。在 Firefox 中，您可以通过about:preferences转至Advanced > Certificates > View Certificates查看所有已安装的证书。

对于 Google Chrome，可以在此处找到根证书策略。在 Google Chrome 中，您可以转到设置，单击显示高级设置...，然后在HTTPS/SSL下单击管理证书以查看所有已安装的证书。