根證書如何傳輸到電腦？

我了解根證書和 CA 的目的是確保通信方是他們所說的那樣。

但是根證書是如何獲得的呢？在收購過程中，有人冒充 CA 並且我得到了一個假的根證書，這是不可能的嗎？

謝謝！

您是正確的，將根證書發送給最終使用者是一個問題。有兩種常用的方法來解決這個問題：

1. Out of Band : 根證書由U盤攜帶，或在安裝過程中放置在系統上，或通過IT管理工具推送，或通過其他非網際網路方式。
2. 證書固定：例如，Firefox 在其原始碼中包含所有公開信任的 SSL CA 的根證書。當您連接到 HTTPS 站點時，Firefox 會檢查根頒發證書是否與硬編碼到其原始碼中的大約 50 個證書之一匹配。如果 Firefox 想要添加/刪除/修改其中一個固定的根證書，它必須向每個人推送一個安全更新檔。由於 Firefox 的二進製文件已簽名，因此很難（儘管我確信並非不可能）在列表中植入假根證書。

引用自：https://crypto.stackexchange.com/questions/32635