求资料,关于x509和ssl方面的,还有证书机构啥的,比较通俗易懂的资料

感谢 --------------------编程问答-------------------- SSL --------------------编程问答-------------------- 这个貌似不是我要的

把具体的问题发出来大家帮讨论一下吧

先是ssl的问题 

假设，服务端启用ssl安全传输，服务端启用证书，不需客户端提供证书。
那么一次requst/reponse是什么样的？以我的理解是这样（简单的，忽略一些细节）：
1，客户端请求建立ssl连接
2，服务端把公钥发给客户端并和客户端协商什么加密算法等乱七八遭的
3，客户端接受公钥并认证通过，连接建立
4，客户端以公钥加密他真正想发送的数据request     (这时，就算客户端到服务器之间有非法监听者也没关系，因为监听者没有服务端的私钥，还原不了数据）
5，服务端接受到request后，用私钥解密，得到请求数据request并进行处理后生成reponse数据，服务端用私钥加密reponse后发回客户端。
6，客户端接送到reponse，用公钥解密，得到真正的处理结果，到此，一次请求/回复结束。


现在问题：
一，以上理解可正确？
二，ssl应用到https上，是否每次request/reponse都需要一次ssl握手过程，也就是说，每回request都需要双方传输证书啊公钥啊等信息？WCF中如果启用安全和证书验证，是否每次调用也都需要传输证书信息等？？
三，例如iis里设置不接受客户端证书，是否意味着，监听者虽然没办法解密request，但却有办法把服务端reponse给客户端的信息解密，因为如果我上面理解无误的话，服务端用私钥加密reponse,那就可以用公钥来解密，而公钥是公开的，监听者可以拦截到。

四，以windows + ie为例，当我们浏览www.alipay.com时，是不会提示证书问题的，也就是ie认为alipay的证书是合法的，他是怎么个判断过程呢？windows系统中受信任的ca列表是怎么来的呢？为什么就认为他们是可以信任的呢？


五，在自己的系统中使用证书，怎么确定服务端传来的证书的合法性呢？ --------------------编程问答-------------------- x509 --------------------编程问答-------------------- up              1 --------------------编程问答-------------------- up 222222222

补充：.NET技术 ,  C#