Questo è ciò che Facebook spedisce con il loro client PHP API: link
Contiene dozzine (centinaia?) di CA root.
Ma non rende il client più soggetto all'attacco MitM?
Per chiarire il motivo per cui penso: è più probabile che alcuni certificati CA vengano compromessi, che se includessero un singolo certificato, esattamente quello che firmano i loro certificati.
Mi manca qualcosa?
Come scritto nel File Head , questo file è fondamentalmente solo una copia delle CA di Mozilla. Ciò consente l'utilizzo in cURL, per verificare se Certicate è valido o meno.
Non è come se ci fossero tonnellate di CA casuali aggiuntive, è solo una copia di qualcosa che la maggior parte del browser avrà già, semplicemente allegata per usarla con cURL o qualsiasi altra cosa.
Potrebbe esserci un problema se una CA viene compromessa, è necessario rimuoverla manualmente dal file, poiché non è associata a nessun programma di aggiornamento come un browser.
Leggi altre domande sui tag tls certificates certificate-authority