La maggior parte dei certificati viene aggiornata tramite qualsiasi meccanismo di aggiornamento disponibile per il sistema. Non è possibile essere certi che i certificati installati con il browser non vengano effettivamente utilizzati per mitm. D'altra parte, potresti scrivere un piccolo script che usa la modalità client openssl per recuperare i certificati x509 di destinazioni basate su SSL e da lì fare un confronto con la firma del sito in arrivo.
Questo non si adatta molto bene però. Inoltre, potreste essere consapevoli che, almeno su MacOSX, esiste il client ocsp che funziona anche per revocare i certificati x509. Il problema è tale che una volta che hai installato un cert root root nel tuo sistema, quasi tutto può essere falsificato, che include il download di qualsiasi soluzione tramite https. Nel peggiore dei casi, è possibile scaricare, almeno per Firefox, l'insieme di certificati installati nel browser e eseguire un rapido test di verifica. Ma oltre lo stesso sistema rotto? Avvia in un livecd, possibilmente ubuntu, e fai i download in questo modo.
Per favore abbraccia il tuo povero amministratore di sistema che deve confermare se i tuoi certificati sono in ordine.