ca证书如何保证非对称加密安全？

非对称加密使用了公钥和私钥，公钥用来给客户端，客户端拿着公钥加密后把数据发给服务端，服务器用自己的私钥来解密。不过它也有个问题是攻击者拦截了公钥，用自己的假公钥返回给了客户端，获取到客户端发来的信息后用自己的私钥解密，对信息进行修改后通过服务端的公钥加密发给服务端。

所以引入了CA证书，服务端会先向CA机构申请证书，客户端首先会根据浏览器中的根证书对CA证书进行验证，验证通过才会继续后面的通信。

那么ca证书是如何保证安全的呢？

证书里面包含了公钥，客户端会拿服务端传来的公钥和自己浏览器中的内置证书的公钥对比。看这个公钥是不是真的从服务端传来的，如果不是则浏览器会弹出，此证书是不信任，可以选择接受，或者不接受，接受则继续通信。

参考：

为什么需要ca证书?_余生（心如止水）的博客-CSDN博客_为什么需要ca