有点。浏览器在不联系 CA 的情况下验证证书是由 CA 颁发的。但从那时起，证书可能已被吊销，例如因为网站的私钥泄露。要验证证书没有被吊销，浏览器需要联系 CA 的 CRL 或 OCSP 站点。如果这些都关闭，则无法知道证书是否被吊销。在实践中，因为保持这些站点的运行成本很高，所以它们通常会关闭，并且现代浏览器要么不检查，要么尝试检查，但如果 CA 无法访问，连接也不会失败。因此，如果证书的 CA 关闭，证书将继续工作。如果 CA 永久关闭，您将无法撤销证书，这是一个问题。

为了解决 CRL 和 OCSP 的可扩展性问题，发明了 OCSP 装订。您的站点本身每天与 CA 联系一次，以获取一份签名说明，上面写着“此时，证书尚未被吊销”，并将此签名说明传递给浏览器。这留下了一天的窗口，在此期间证书可能已被吊销，您的浏览器不会怀疑任何事情，这比我们现在拥有的要好。

不可以。CA 的根证书通常安装在客户端的证书存储中。当客户端发出握手请求时，他们会从站点（我将其称为 example.com）接收到证书。example.com 的证书将包括根证书和可能的中间证书，客户端（在本例中为浏览器）将检查其证书存储以查看它是否包含根证书。

基本上，如果 CA 的网站出现故障，它对从 CA 购买证书的网站没有影响。