CA根證書的層級關系和驗證流程：

---

1. 證書層級結構（樹狀圖）

[根證書 (Root CA)]
│
├── [中間證書 (Intermediate CA 1)]
│   │
│   ├── [網站證書 (example.com)]
│   └── [郵件證書 (mail.example.com)]
│
└── [中間證書 (Intermediate CA 2)]│└── [代碼簽名證書 (developer.com)]

• 根證書：位于頂端，自簽名，不直接簽發終端證書。
• 中間證書：隔離風險，實際簽發終端證書。
• 終端證書：最終使用的證書（如網站、郵件、代碼簽名）。

---

2. 證書驗證流程（步驟圖解）

1. 瀏覽器訪問 https://example.com│
2. 服務器返回證書鏈：│   [網站證書] → [中間證書] → [根證書]│
3. 瀏覽器檢查：├─ 證書是否過期？ → ? 過期 → 顯示警告├─ 域名是否匹配？ → ? 不匹配 → 顯示警告└─ 簽名是否有效？ → 用根證書公鑰逐級驗證：│├─ 用[根證書]公鑰驗證[中間證書]簽名 → ?│   ││   └─ 用[中間證書]公鑰驗證[網站證書]簽名 → ?│└─ 全部通過 → 建立HTTPS加密連接 🔒

---

3. 信任鏈示意圖

[操作系統/瀏覽器]
│
├── 預置的受信任根證書（如DigiCert、GlobalSign等）
│   │
│   └── 自動信任所有下級證書（中間證書 → 網站證書）
│
└── 手動安裝的私有根證書（如企業CA）│└── 僅信任該CA簽發的證書（需用戶確認風險）

---

關鍵點標注

• 🔑 根證書私鑰：嚴格離線存儲（如硬件加密模塊）。
• ? 有效期：根證書（10-25年） > 中間證書（5-10年） > 終端證書（1-2年）。
• 🛡? 安全隔離：中間證書作為“緩沖層”，即使泄露也可快速吊銷，無需動搖根證書。

---