瀏覽器在 CA 與 SSL/TLS 生態裡扮演的角色

可以把瀏覽器想成「邊境海關＋通訊管制中心」，既負責驗證護照（憑證），也負責開通加密通道（TLS 連線），具體工作大致有三件事：

保管「可信 CA 名單」
- 每款瀏覽器（Chrome、Firefox、Edge…）內建一份 Root Store，列出它信任的憑證授權中心（CA）。
- 瀏覽器定期更新這份清單：新增表現良好的 CA、移除審核不嚴或違規的 CA。
驗護照：連線時即時核對憑證
- 簽章鏈：由被信任的 CA 一層層簽下來嗎？
- 域名：憑證上的域名和你造訪的網址一致嗎？
- 有效期：今天是否介於憑證的起迄日期內？
- 撤銷狀態：這張憑證有被列入黑名單嗎？（OCSP / CRL / CT Log）全部通過才顯示安全圖示；任何一環出問題，就跳出「不安全」警告。
開通並管理加密通道
- 驗證無誤後，瀏覽器與伺服器進行 TLS 握手，協商用哪種加密演算法、交換一次性金鑰。之後網頁傳輸的內容都經過加密，旁人即使攔截封包也看不懂。
- 同時瀏覽器還會強制最低 TLS 版本、混合內容阻擋、HSTS 預載等政策，持續把連線安全性往上拉

網域與 DNS