In ogni caso, OCSP non ti dice chi dovresti fidarti; OCSP è solo preoccupato per la revoca . Quando un server OCSP invia una risposta che dice che un dato certificato è "buono", questo è un termine improprio; significa davvero "non esiste un certificato revocato conosciuto con quel numero seriale". OCSP non garantisce che il certificato di destinazione esista del tutto, per non parlare del fatto che è "affidabile".
Detto questo, l'elenco di CA attendibile è, in effetti, l'elenco di trusted CA. Dichiarerai di fidarti di qualche CA perché hai trovato un elenco su qualche pagina Web che ti dice che "ti fidi di questa CA" e che quella pagina Web ti è stata segnalata da "un tizio su Internet" (che non mostra né il suo vero nome, né la sua vera faccia)?
Se vuoi veramente consegnare la tua sicurezza al consiglio di un estraneo a caso, che sia un orso, puoi almeno applicare un giudizio personale e decidere su base CA se lo vuoi o no. Come punto di partenza , è possibile iniziare copiando la "CA attendibile" da un altro browser Web, ad esempio Internet Explorer o Firefox. La CA di IE è la CA che Microsoft, nella sua infinita saggezza, ha dichiarato adatta a essere considerata attendibile dal pubblico (l'elenco e le motivazioni sul perché questi CA sono "attendibili" possono essere trovati ci ); potreste voler eliminare un po 'quella lista. Tuttavia, essendo la quota di mercato di Windows quella che è, è praticamente garantito che qualsiasi sito Web HTTPS che "funziona" abbia un certificato emesso direttamente o indirettamente da uno di questi CA.
(Poiché l'elenco Microsoft di CA contiene un numero di "CA governative" che sono state aggiunte perché i governi sono, di norma, narcisistici, ma in realtà non sono usati , l'elenco può essere considerevolmente potato senza interrompere seriamente la navigazione sul Web. Potrebbero esserci circa una dozzina di CA root comunemente utilizzate.