Il JDK è offerto su HTTP perché offre anche un hash per confermare su canali sicuri . Poiché l'hash è su un canale sicuro, se questo hash non può essere confermato non è necessario utilizzare il download. Il fatto che la parte della verità (l'hash su cui esegui il check-in) sia consegnata in modo sicuro significa che possono offrirla via HTTP perché sarai in grado di verificare in sicurezza se il download è stato modificato durante il transito.

Le autorità CA non dovevano essere considerate attendibili . Dovevano essere un posto dove le persone potevano verificare se un certificato fosse stato emesso da loro. Questo è tutto ciò che confermano, è che il certificato è venuto da loro. Questo significa che dovresti essere scettico? Probabilmente no.

I negozi di fiducia per browser / computer sono ciò su cui ti stai realmente affidando per mantenerti al sicuro. Questo perché la conferma di un CERT SSL è un processo multiparte di fiducia tra te, il tuo computer, il tuo browser, il server DNS e il server CA. Se tutte e cinque le parti non sono d'accordo, non ti fidi e non ci vai. Spesso le CA hanno il loro indirizzo (i) di server memorizzato in questi trust store e se riconosciuto come una delle tante grandi CA, il browser si fiderà di loro e confermerà il certificato (perché è stato revisionato in anticipo e ritenuto affidabile da qualcuno). Se la CA non è presente nell'elenco, è probabile che venga visualizzato un avviso che non è possibile attendersi la cert (poiché la CA non è ancora attendibile da uno dei passaggi della catena di fiducia che si sta utilizzando). Spesso questo ti dà un avvertimento "ti piacerebbe DAVVERO davvero" che tu possa dire "Io davvero faccio" e mi connetto ancora. Tuttavia, se stai visitando un sito e non stanno utilizzando una CA nell'archivio fidato ... Perché stai andando su quel sito a meno che non ti fidi DAVVERO?

Ovviamente questo avviso può comparire se usano anche la propria CA interna, ma di solito a quel punto hai probabilmente installato il CERT nel tuo browser / negozio di computer, e quell'avvertimento non dovrebbe comparire perché tu Ho detto al tuo sistema di fidarsi di loro. In quel caso la catena di fiducia è con te e il server. Tutto sul tuo sistema è pronto per il viaggio.

TL, DR

Dovresti essere a posto a meno che non siano già nel tuo elenco di fiducia. In tal caso riceverai un avvertimento. Quindi spetta a te fidarti o meno.

In realtà tu sono ciò che decide quali certificati vengono considerati attendibili. Browser e computer ne offrono alcuni di default, e la maggior parte degli utenti lo accetta e alla fine li aggiunge alla lista. Alcuni non lo fanno e costruiscono il proprio elenco di CA. Entrambe sono opzioni valide fintanto che tu fai da solo pratiche sicure.

AFAIK, some of them are in countries, where single entity (gov) can covertly do whatever it wants on their machines.

Sì, molti paesi sono così oggi.

Purtroppo, per quanto riguarda i governi, il sistema CA non è (e non è mai stato) sicuro.

Le CA sono ancora valide per impedire a alcune persone e organizzazioni di attaccare, ma non tutte.