Qual é a série de etapas necessárias para verificar com segurança um certificado SSL? Meu (muito limitado) entendimento é que quando você visita um site https, o servidor envia um certificado para o cliente (o navegador) e o navegador obtém as informações do emissor do certificado desse certificado, então usa isso para contatar o emissor e de alguma forma compara certificados de validade.

Como exatamente isso é feito?E o processo torna imune a ataques man-in-the-middle?O que impede que uma pessoa aleatória configure seu próprio serviço de verificação para usar em ataques man-in-the-middle, então tudo "parece" seguro?