Ya buenas respuestas. Centraré la mía únicamente en el problema de la gallina y el huevo .
Egg: Estás intentando validar un certificado, pero el certificado se encadena a una raíz que nunca has visto antes.
Chicken: Para decidir si debe confiar en esta CA, mire quién emitió el certificado raíz, pero el emisor de un certificado CA raíz siempre es ... en sí mismo, por lo que estamos de vuelta al escenario del huevo.
De ahí el nombre "root CA certs" para "root of trust". Si confías en la raíz, confías en todo el árbol. Si no confías en la raíz, entonces no confías en todo el árbol. Pero, ¿cómo determinar si una CA raíz es confiable?
No hay una forma automatizada de determinar si una CA raíz es confiable, y ese es el punto. Básicamente, necesita conocer a la organización (es decir, los humanos) que dirigen esa CA y decidir si son confiables y están haciendo su trabajo correctamente. Como ejemplo, veamos el proceso de Mozilla para decidir si se debe incluir una CA en los almacenes de confianza de Firefox y otros productos.
Primero, vea: Programa de certificado de CA de Mozilla que hace un resumen de todos los detalles de su proceso en torno al almacén de confianza de la raíz (gran prestigio a ellos por hacer todo esto público!).
A continuación, profundizamos un poco más en su Proceso de solicitud de CA . Como puede ver, hay un proceso muy riguroso y lento por el cual Mozilla determina si una CA es "lo suficientemente buena" para ser incluida en el almacén de confianza de Mozilla.
Línea inferior : no existe una forma de Internet para determinar si una CA raíz es confiable (supongo que podría buscarlos en un foro o algo así, pero ¿cómo lo sabe?) Si debes confiar en esas personas? Ver: huevo de gallina). Primero debe tener confianza en la vida real en las personas que ejecutan la CA. Las otras respuestas detallan los riesgos de agregar un certificado raíz malicioso, por lo que no voy a repasar eso.
Supongamos que su empresa / escuela / amigo administra la CA que está pensando agregar: usted cree que son honestos (no otorga certificados falsos a los malos), y cree que tienen buenas prácticas de seguridad para evitar que se piratee su CA (muy poco probable a menos que, como mínimo, hayan gastado miles de dólares en Hardware Security Modules para almacenar su clave privada de CA y firewalls para proteger su interfaz de administrador), luego continúe y añádala.
De lo contrario, si se trata de un certificado raíz con el que tropezó en Internet, deberá comunicarse con la organización que se encuentra detrás de la CA por teléfono y revisar su propia versión de la lista de control de Mozilla (que probablemente involucre a varios meses de su tiempo y varios boletos de avión tanto de su parte como de CA.
Resultado final: A menos que la entidad de certificación raíz sea su empresa / escuela y literalmente tenga que agregarla para que su computadora funcione, * entonces no * . Mozilla / Google / Microsoft / Apple, etc. tienen procesos muy rigurosos para examinar las CA, por lo que si esa CA no se incluyó, probablemente haya una razón.