Da quanto ho capito, l'intero punto dell'archivio root / trusted (in un dispositivo, in un computer, in un server ...) è che "la fiducia inizia qui". In altre parole, hacking, ecc. A parte, in teoria tutti i certificati nel negozio fidato non hanno bisogno di essere - e in realtà non possono essere - "verificati" di per sé; sono considerati implicitamente semplicemente in virtù del fatto che risiedono nel negozio di fiducia.
Quindi ecco la mia domanda: questi certificati hanno anche bisogno di essere firmati (dal punto di vista della sicurezza, non dal punto di vista delle implementazioni software della verifica della catena di certificati)? Immagino più nello specifico, la mia domanda è questa: la firma digitale su un certificato nell'archivio di fiducia fornisce un ulteriore vantaggio in termini di sicurezza?
L'unica ragione per cui posso immaginare che questi certificati necessitino di firme è semplicemente rendere più facile la fiducia / verifica, cioè eliminare casi speciali nel software di verifica - tutti i certificati devono essere firmati, anche se la firma del certificato all'inizio della catena è essenzialmente priva di significato.