How can I verify that a root certificate is authentic?
L'autenticità può essere verificata se si cerca l'impronta digitale online e si trova il certificato dove ci si aspetterebbe. Ma questo non è infallibile perché potrebbe trattarsi di un sito fasullo che ha un bell'aspetto e un nome host affidabile. In ogni caso non conosci la festa personalmente e l'autenticità non significa che la festa possa essere considerata di fiducia.
Alla fine devi fidarti del fornitore del tuo sistema operativo o del browser che sta facendo la cosa giusta, perché in effetti non hai modo di verificarlo realmente. Ma questo tipo di fiducia non è raro, cioè ti fidi del tuo supermercato che il cibo è commestibile e non è scaduto o addirittura avvelenato, ti fidi della tua stazione di servizio che la benzina non è pericolosa per la tua auto ... problemi di sicurezza. E tu speri che se questa fiducia non è più giustificata ti verrà in qualche modo notificato.
La fiducia può andare storta come si può vedere nella vicenda Superfish in cui ci si fidava del fornitore (Lenovo) di spedire un computer affidabile Ma questo computer conteneva un software per inietti gli annunci e inoltre il software installava il proprio certificato di base sulle connessioni man-in-the-middle per iniettare anche gli annunci nel traffico https. Questo certificato era assolutamente autentico, ma la maggior parte delle persone non lo considererebbe affidabile.