И вообще, главная фишка тут даже не в безопасности, а в управлении:
В браузере хранятся не сертификаты сайтов, а сертификаты центров сертификации. Это означает, что когда ваш браузер получает сертификат сайта при установке соединения, он видит помимо адреса сайта ещё и «адрес» центра сертификации, а также цифровую подпись, которую сгенерировал центр сертификации с использованием своего секретного ключа. Дальше браузер берёт из локального хранилища цепь сертификатов центров сертификации, достаёт из него публичный ключ и с помощью него проверяет подпись в сертификате сайта. Если подпись правильная, соединение успешно устанавливается.
Цепь сертификатов представляет собой список сертификатов (начиная с лица, удостоверенного в качестве сервера), включающий один или несколько центров сертификации (последний подписывается самим собой), обладает следующими свойствами:
1. Подпись каждого сертификата (за исключением последнего) является удостоверяющим центром-преемником.
2. Все сертификаты, за исключением последнего, подписываются с помощью закрытого ключа следующего центра сертификации.
3. Последний сертификат в цепи является сертификатом единственного пункта доверия, являющегося корневым центром сертификации.
Иерархические инфраструктуры открытых ключей способны быстро реагировать на компрометацию отдельного центра сертификации внутри инфраструктуры. Если центр сертификации скомпрометирован, вышестоящий центр сертификации просто аннулирует его сертификат. Как только работа центра сертификации восстанавливается, он выпускает новые сертификаты для всех своих пользователей. Вышестоящий центр сертификации выпускает для скомпрометированного центра сертификации новый сертификат с новым открытым ключом, что позволяет вернуть этот центр обратно в иерархию.
Центр сертификации Минцифры —
главный в России и может отменить сертификат любого другого центра, который ему не понравится. Скажем, объявив, что он управляется недружественным государством. И тогда сайты, признающие его юрисдикцию, просто перестанут открываться, если к ним попытаются получить доступ по такому сертификату.
И обратно: он может признать любой другой сертификат, независимо от доказанности его безопасности, например, сертификат Сбера.