Esto es lo que Facebook incluye con su cliente php API: enlace
Contiene docenas (¿cientos?) CA raíz.
¿Pero no hace que el cliente sea más propenso al ataque MitM?
Para aclarar por qué pienso: es más probable que algunos de los certificados de CA se vean comprometidos, que si incluyeran un solo certificado, exactamente el que firman sus certificados.
¿Me estoy perdiendo algo?
Como está escrito en el File Head , este archivo es básicamente una copia de las CA de Mozilla. Esto permite el uso en cURL, para verificar si el Certicate es válido o no.
No es como si se tratara de toneladas de CA adicionales aleatorias, es solo una copia de algo que la mayoría de los navegadores ya tendrán, solo se adjunta para usarlo con cURL o cualquier otra cosa.
Un problema podría ser si una CA se ve comprometida, tuvo que eliminarlo manualmente del archivo, ya que no está vinculado a ningún actualizador como un navegador.
Lea otras preguntas en las etiquetas tls certificates certificate-authority