El navegador web tiene una lista de certificados raíz en los que confía. Estas son claves públicas de CA. El navegador dice que puede confiar en que las claves privadas de estas CA son, de hecho, privadas, y que todo lo que ha sido encriptado por una de esas claves privadas, incluido el presunto certificado del servidor web, realmente provino de la CA.
El certificado contiene la clave pública del servidor web y la dirección del servidor web (y el nombre de la compañía, etc.) cifrados con la clave privada de la CA. Este cifrado se realiza una vez, cuando el propietario del sitio web compró el certificado de la CA. Después de eso, el propietario del sitio web mantiene el certificado a mano para enviarlo cuando realiza una solicitud de https.Dado que su navegador puede usar la clave pública de CA (que ya estaba en su máquina) para descifrar el certificado enviado por el servidor web, y ve en el certificado descifrado que el certificado contiene una dirección de host que coincide con el host https-serving, el navegador concluye que la clave pública del host (descifrada usando la clave pública de CA) es auténtica. El certificado proporcionado rutinariamente por el servidor web puede provenir de una persona aleatoria que simula el host, pero al menos puede estar seguro de que contiene la clave pública auténtica del servidor que sirve https con el que desea comunicarse.
A continuación, puede enviar datos (como su número de tarjeta de crédito) encriptados con la clave pública del host, y solo la clave privada del host podrá descifrar sus datos. No fue necesaria la comunicación con la CA durante la transacción.
El certificado proporcionado por la CA se instala dentro del servidor web (por ejemplo, IIS) y se asigna a la aplicación web en cuestión. No veo por qué el navegador se conectaría a la CA. – Cerebrus