Контролируется ли он только локально через хэш-сумму или браузер связывается с веб-сервером центра сертификации для проверки сертификата?
В браузере локально кэшируются открытые ключи различных корневых органов. Если вы используете Windows, вы иногда видите обновление с «корневыми сертификатами» в названии, вот что это такое. Для действующего сертификата иерархию можно проследить вплоть до открытого ключа действительного корневого ЦС, возможно, через нескольких торговых посредников.
Вы можете подписать сертификат самостоятельно, и при первом доступе к сайту с таким сертификатом вы получите предупреждение, в котором вас спросят, хотите ли вы продолжить и добавить ключ в список доверенных ключей внутри браузер, это остановит повторное появление предупреждения - и вам сообщат, если ключ изменится.
CRL или список отзыва сертификатов очень важны. Выданный сертификат может быть действительным в соответствии с браузером, поскольку браузер доверяет корневому ЦС (центру сертификации) сертификата. Но CA всегда может отозвать выданный сертификат. Единственный способ узнать, что он отозван, - это проверить список отзыва сертификатов. Сертификаты обычно поставляются с адресом CRL, но по умолчанию не все браузеры заботятся о том, доступен ли список CRL. Я помню, что по крайней мере одна версия IE как бы предполагала, что если это был правильно выданный сертификат, этого достаточно, если он не может правильно связаться со списком отзыва сертификатов. То есть, если я не вижу, отозвали вы или нет, я просто предполагаю, что нет.