如何验证根证书是否真实？

如果您在线搜索指纹并在您期望的位置找到证书，则可以检查其真实性。但这并不是万无一失的，因为这可能是一个看起来不错并且具有可信赖的主机名的假网站。在任何情况下，您都不认识当事人，真实性并不意味着当事人可以被信任。

最后，您必须相信您的操作系统或浏览器的供应商它正在做正确的事情，因为实际上您无法真正验证它。但这种信任并不少见，即你相信你的超市食物是可食用的、不会过期甚至中毒的，你相信你的加油站相信汽油对你的汽车没有危险……——即你已经相信别人在安全问题。你希望如果这种信任不再合理，你会以某种方式得到通知。

信任可能会出错，正如在Superfish 事件中可以看到的那样，人们信任供应商（联想）提供一台可信任的计算机。但是这台计算机包含一个注入广告的软件，并且该软件还安装了自己的根证书到中间人连接，以便将广告也注入到 https 流量中。这个证书绝对是真实的，但大多数人不会认为它是可信的。

由于操作系统如何发布根证书，这通常是正常的。您可能会看到一个 CA 的根证书在过期时重叠，并被同一 CA 的新证书“覆盖”。尽管如此，不要盲目相信对你有好处。

大多数公共证书颁发机构都会发布有关其根证书的指纹信息。您可以从 CA 到 CA 寻找这些证书，并验证您在根信任存储中看到的证书与他们发布的指纹匹配。例如，Thawte 发布到https://www.thawte.com/roots/。

每个 CA 将有不同的政策来发布这些信息，但应该很容易用您的眼睛找到和验证。