CA 也即证书授权机构，主要职能有颁布、认证和管理数字证书。数字证书用来记录和认证用户的公钥。 在非对称加密体系中，传递加密信息的基础为，用接收方的公钥对信息进行加密，传递给接收方后，接收方用自己藏好的私钥解密获取信息。（其它人可以拿到接收方的公钥，但无法依据公钥推出私钥，因此即使拿到加密信息，也无法解密。）

CA 在非对称加密过程中的作用就是在 CA 本身可信的基础上，让用户可以确认自己拿到的就是接收方的有效公钥，保证公钥的不可伪造性和完整性。

简要梳理一下有 CA 参与的非对称加密体系的大致过程：

现有 A 和 B 两位同学需要使用非对称加密体系进行加密通信（A => B）。

这个问题反过来就是，我能不能伪造一个 CA 出来？ 答案是完全可以！只要我有能力去生产非对称密钥对，然后把自己的信息写的看起来可信，然后就可以去骗去偷袭了。用户拿到我伪造的 CA 的证书，选择相信后，我就可以伪造数字证书，然后让用户用伪造的公钥去传递加密信息。

但是，事情也没有那么容易。大部分用户的主机系统中都预设了顶级的可信 CA，这些顶级 CA 有钱有势，相互认证真实性。伪造的 CA 自然无法通过这些大佬的认证，除非想办法把他们全部买通（值得吗？）。

所以，伪造 CA 技术上可行，其它都不可行。普通用户基本不用去考虑 CA 是否可信，除非是在系统上手动配置信任其它的 CA。

如有差错，欢迎讨论