Quando il software deve utilizzare SSL / TLS, generalmente desidera utilizzare un elenco di autorità di certificazione. Potrebbe esserci un software che avvisa semplicemente sempre per ogni certificato sconosciuto, ma come hai detto tu, Firefox e Chrome hanno un elenco di CA.
Dove ottengono questo elenco dipende dal software. Puoi google questo, lo sai.
- Mozilla mantiene un proprio elenco di CA (per Firefox, Thunderbird, ecc.)
- Chrome utilizza l'elenco delle CA dal sistema operativo o almeno su Windows che ho letto.
- Opera mantiene un proprio elenco di CA sembra.
- Safari utilizza l'elenco del sistema operativo (Apple su OS X e Microsoft su Windows).
Poi sulla tua domanda su come si ottiene questo elenco: hai ragione, se il download non è stato verificato per essere sicuro (in modo sicuro), quindi tutte le comunicazioni da lì sono intrinsecamente insicuri. Quando stai scaricando una distribuzione Linux e sostituisco il tuo download con uno che ha una lista CA alterata, allora sì, potrei leggere tutte le tue comunicazioni HTTPS. Probabilmente è molto più semplice installare il malware.
Si noti che un checksum da solo non è la soluzione definitiva: il checksum deve essere ottenuto su una connessione sicura (ad es. https), oppure può anche essere modificato.
È divertente: se hai bisogno di ottenere il checksum su https, dove il tuo browser (o sistema operativo) corrente ha ottenuto un elenco di CA? Da qualche parte devi sempre fidarti di qualcuno o qualcosa (come il negozio che hai acquistato da Windows), oltre alla fiducia che hai inserito nelle CA.