Does this mean it is impossible to add new trusted certificate issuers
forever? Is it impossible for one to start his or her own root CA
without the consent of computer manaufacturers?
È possibile creare una nuova CA e aggiungere i relativi certificati all'elenco di fiducia con la collaborazione dei produttori. Questo potrebbe essere il produttore del computer, il produttore del sistema operativo o il produttore del browser. Ad esempio, l'iniziativa letsencrypt.org richiederebbe ai browser di aggiungere il certificato nell'elenco di fiducia (che sarà fatto).
È anche possibile rimuovere una CA da un elenco di fiducia. Questo è successo di recente .
Giusto per chiarire, come altri utenti hanno menzionato che un utente può sempre creare i propri certificati e fidarsi di loro. Questo li rende una CA, ma questa non è una buona idea in quanto sconfigge lo scopo di una CA (una terza parte che verifica la legittimità di un certificato). In questi giorni ci sono progetti come LetCrypt che sperano di rendere facile e molto economico per le persone ottenere l'accesso ai certificati per i loro domini che sono considerati affidabili dai produttori. Davvero un segno dei tempi!
Also, what is stopping an attacker from simply installing "trusted"
certificates in people's computers?
Qualsiasi utente con privilegi di amministratore può aggiungere un certificato fidato su un sistema. Oltre a ciò per i browser, qualsiasi utente può semplicemente dire al proprio browser di fidarsi sempre di un certificato.
Dell lo ha fatto di recente preinstallando un certificato si sono creati da soli e includono accidentalmente la chiave privata.