Qual é a série de etapas necessárias para verificar com segurança um certificado SSL? Meu entendimento (muito limitado) é que, quando você visita um site https, o servidor envia um certificado para o cliente (o navegador) e o navegador obtém as informações do emissor do certificado desse certificado, usa-o para entrar em contato com o emissor e, de alguma forma, compara certificados de validade.
- Como exatamente isso é feito?
- E o processo o torna imune a ataques do tipo intermediário?
- O que impede uma pessoa aleatória de configurar seu próprio serviço de verificação para uso em ataques intermediários, para que tudo "pareça" seguro?