Già buone risposte. Concentrerò il mio solo su il problema dell'uovo e della gallina .
Egg: stai tentando di convalidare un certificato, ma le catene di certificati di sicurezza su una radice che non hai mai visto prima.
Pollo: Per decidere se fidarti di questa CA, guarda chi ha rilasciato il certificato di root, ma l'emittente di un certificato CA radice è sempre ... stesso, quindi siamo tornati allo scenario delle uova.
Da qui il nome "root CA certs" per "root of trust". Se ti fidi della radice, allora ti fidi dell'intero albero. Se non ti fidi della radice, allora non ti fidi dell'intero albero. Ma come determinare se una CA radice è affidabile?
Non esiste un modo automatico per determinare se una CA radice è affidabile, e questo è un po 'il punto. Fondamentalmente, devi conoscere l'organizzazione (cioè gli umani) che gestiscono quella CA e decidere se sono affidabili e svolgono correttamente il loro lavoro. Ad esempio, esaminiamo il processo di Mozilla per decidere se una CA deve essere inclusa nei truststor di Firefox e altri prodotti.
Per prima cosa, vedi: Programma certificato CA di Mozilla che contiene una panoramica di tutti i dettagli del processo attorno all'archivio di fiducia principale (enormi consensi a loro per aver reso tutto questo pubblico!).
Successivamente, ci immergiamo un po 'più in profondità nel processo di applicazione CA . Come puoi vedere, c'è un processo molto rigoroso e lungo dal quale Mozilla determina se una CA è "abbastanza buona" da essere inclusa nel trust store di Mozilla.
Bottom-line : non esiste un modo over-the-internet per determinare se una CA radice è affidabile (suppongo che potresti cercarli su un forum o qualcosa del genere, ma come fai a sapere se dovessi fidarti di quelle persone? Vedi: uovo di gallina). Devi prima avere fiducia nella vita reale nelle persone che gestiscono la CA. Le altre risposte descrivono in dettaglio i rischi associati all'aggiunta di un certificato di root dannoso, quindi non lo esaminerò.
Supponiamo che la CA che stai pensando di aggiungere sia gestita dalla tua azienda / scuola / amica: tu credi che siano onesti (non emettendo falsi certificati per i cattivi), e pensi hanno buone pratiche di sicurezza per impedire che la CA venga violata (altamente improbabile a meno che, come minimo, abbiano speso migliaia di dollari su Moduli di sicurezza hardware per memorizzare la chiave privata CA e i firewall per proteggere la loro interfaccia di amministrazione), quindi andare avanti e aggiungerlo.
Altrimenti, se questo è un certificato di root che hai trovato su internet, dovresti contattare telefonicamente l'organizzazione dietro la CA e passare attraverso la tua versione della checklist di Mozilla (che probabilmente coinvolge diversi mesi del tuo tempo e diversi biglietti aerei sia da parte tua che della parte CA).
Bottom-bottom-line: a meno che la CA radice sia la tua azienda / scuola e sei letteralmente obbligata ad aggiungerla affinché il tuo computer funzioni, * quindi non * . Mozilla / Google / Microsoft / Apple, ecc. Hanno processi molto rigorosi per controllare le CA, quindi se quella CA non è stata inclusa, c'è probabilmente un motivo.