作者回复: 1、一条Server Hello消息会发多个证书。
2、只有3层,根证书和权威证书
作者回复: 没有办法,浏览器会提示这个网站不值得信任。你可以openssl生成一个自签名的证书,配置到网站上体验下。
作者回复: 1、数据加解密用的是Bob的公私钥,这样只有Bob能解密;
2、浏览器拿到的证书是从网络上获取到的。确认证书里的Bob确实是Bob而不是Charlie,需要依赖CA机构用其私钥加密的摘要,因为浏览器可以根据根证书知道CA机构是可信的,它拿到了CA机构的公钥,又通过解密摘要知道这段证书是CA认可的。