>>5251730
>>5251732
>>5251767
Сертификат это то, что подтверждает для твоего браузера подлинность сайта на который ты заходишь и обеспечивает секурность канала до него. Он должен быть у тебя и у сайта к которому ты обращаешься. Но разумеется никто не будет поставлять тебе браузер со всеми сертификатами всех сайтов существующих в интернете. Ты должен их как-то получить сам, но ты снова должен быть уверен, что в процесс получения сертификата сайта не вмешался кто-то третий, и не подсунул тебе фальшивый сертификат, который будет подтверждать тебе подлинность фальшивого сайта, или создавать брешь в канале связи с настоящим. Для этого так же как подлинность сайта подтверждается его собственным сертификатом, огромное число конечных сертификатов сайтов удостоверяется гораздо меньшим числом вышестоящих сертификатов, а те в свою очередь ещё меньшим числом вышестоящих. Обычно это цепочка от двух до четырёх сертификатов, самый вышестоящий из которых и является одним из корневых - входящих в некую разумно ограниченную пачку сертификатов которые ты получаешь изначально, со своим браузером или ОС, и с помощью которой можешь подтвердить подлинность всех остальных. Но если один из твоих корневых сертификатов выпущен не чистым на руку лицом, оно может подписать им любой сертификат любого сайта, подсунуть тебе его вместо настоящего, и твой браузер проглотит его не подавившись.
Более практический пример: Ты устанавливаешь корневой сертификат КГБ-сукуритис, которым подписывают свои сертификаты Нипа-банк* и Модуслуги. Пока всё отлично. Но вот ты заходишь на Кукипедию, и она отправляет тебе свой сертификат, для установления защищённого соединения, подписанный тем корневым сертификатом, какой она для себя выбрала. И в нормальных условиях, ты получаешь его, твой браузер проверяет его подпись, что она соответствует подписи корневого сертификата, который у тебя установлен, и всё нормально. Но вот высланные тебе сертификаты перехватывает злоумышленник связанный с КГБ-секуритис, а тебе вместо них отправляет фальшивые, подписанные корневым сертификатом КГБ-секуритис. Твой браузер видит, что они подписаны одним из корневых сертификатов, которые у тебя установлены, считает, что всё ок, и устанавливает защищённое соединение, но не с настоящим сайтом, а напрямую со злоумышленником, который тебе эти фальшивые сертификаты отправил. Ты можешь открыть фальшивый сайт Кукипедии не заметив подлога, и получить ложную информацию, или например скачать оттуда картинку заражённую вирусом, или можешь даже связаться с настоящей Кукипедией, если злоумышленник, с которым ты связался, с полученными сертификатами, которые были отправлены тебе, свяжется с ней от твоего имени и будет прогонять ваш трафик туда-обратно через себя, но в отличии от нормального соединения он, очевидно, будет весь его видеть - какие посты ты туда пишешь, и какие статьи читаешь (при секурном соединении это невозможно: снаружи http*s* видно только домен - адрес сайта, но не конечной страницы именно поэтому блокировки отдельных страниц РКН де факто в мире победившего поголовного шифрования не возможны и тебе обычно рубится весь сайт целиком).
>>5251839
Тебя же врач на приёме не шлёт МКБ читать, а юрист кодексы.
* - не Банк, а мобильное приложение.