robią systematyczne updaty i pliki znajdują się na komputerze
Blisko. Przeglądarki i systemy operacyjne mają lokalnie na maszynie (okazjonalnie aktualizowaną) listę bazowych certyfikatów zaufanych urzędów certyfikacyjnych (Comodo, Symantec, DigiCert, Let's Encrypt etc) stanowiących bazę zaufania. Certyfikat SSL strony powinien być kryptograficznie podpisany przez jednego z tych dostawców. Przeglądarka sprawdza obecność i poprawność tego podpisu (korzystając z lokalnej listy certyfikatów) oraz poprawność samego certyfikatu.
wydaje się proste do hackowania, gdyby po prostu podmienić te dane, trochę zmodyfikować przeglądarkę i wrzucić offlinową wersję jakiejkolwiek strony, to atak pozyskania danych po stronie klienta wydaje się trywialny
Ta logika jest trochę na opak ;) Jeśli masz możliwość zmodyfikowania danych po stronie komputera użytkownika przeglądarki, to już game over, możesz wyrządzić znacznie więcej szkód niż tylko grzebać z przeglądarką.
Pełniejsze ale wciąż skrótowe opisy są np tu:
https://security.stackexchange.com/questions/20803/how-does-ssl-tls-work
moja przeglądarka na telefonie pokazuje mi ciągle, że witryna, która jest bezpieczna taką nie jest :)
(Link?)