Quando scarico un browser come Mozilla, viene fornito in bundle con diversi certificati di root.
Come confido che questi certificati siano legittimi? Come faccio a sapere che il mio download non contiene alcuni falsi certificati root?
So che il software stesso passerà attraverso un controllo di integrità durante il download (che esclude qualsiasi manomissione), tuttavia il controllo di integrità si basa sul browser esistente che si fida del browser utilizzato per scaricare Mozilla su HTTPS. Fondamentalmente il download di Mozilla si basa su qualche altro certificato di root richiesto da qualche parte durante il processo di download. Sembra essere un problema ricorsivo.
Quindi la mia domanda è: come posso fidarmi del certificato di root incorporato nel mio browser?