SSL 基于公钥/私钥加密。这意味着

• 任何用公钥加密的东西都只能用相关的私钥解密
• 私钥可用于签署某物，并且可以使用公钥验证该签名。

证书是附有所有者信息的公钥。所有者可以是个人或域。

当您访问 https://stackauth.com 时，服务器会将其证书呈现给您的浏览器。浏览器会检查证书中的名称是否与您请求的网站名称相匹配，以及过期日期是否有效。

然后浏览器检查证书是否由浏览器认为值得信赖的证书颁发机构签署。任何创建伪造证书的人都面临着让浏览器信任的证书颁发机构对其进行签名的挑战。可能存在来自中间证书颁发机构的签名链，最终需要指向受信任的签名。

如果其中任何一项检查失败，浏览器将向您显示警告并要求确认。如果所有检查都通过（或被用户覆盖），浏览器将使用证书中的公钥加密一些只有服务器才能解密的信息。此信息用于在几个步骤中设置安全会话。

这种模式的主要问题是认证机构是薄弱环节。有大量的 CA，它们直接或间接地被普通浏览器信任。他们都可以发出伪造的签名，过去这种情况已经发生过多次（例如Verisign、Comodo、Diginotar）。