Hace tiempo que se conoce ahora que SSL es más de una ilusión de seguridad que una real.
Como no es completamente inútil, y no hay una alternativa real en este momento (aunque convergencia parece interesante), me gustaría intentar usar un conjunto "mínimo" de CA, suponiendo que las 3 más grandes cubrirán ~ 70% de Internet, y en particular todos los sitios web comunes.
Mi pregunta es: ¿Existe un conjunto de CA tan mínimo?
Respuesta corta: No.
Creo que no estarás contento con solo tres CAs. Un montón de hacer clic en torno a las advertencias de certificados. Esto no hará que su navegación sea más segura.
También reconsidere lo que está tratando de lograr. Supongo que usted quiere protegerse de las AC fraudulentas y / o explotadas. Eso significa que las entidades emisoras de certificados emitirán certificados para google.com, etc., cuando Google nunca les pidió que lo hicieran. Y esos certificados podrían ser utilizados para espiar a los visitantes de google.com.
Entonces, sí, si excluyes las CAs neerlandesas / turcas (re. DigitNotar hack, re. Turktrust hack) de tu almacén de confianza, no te verás afectado si esa CA es hackeada. - Como ha ocurrido en el pasado.
De lo que no estará protegido, es si una Sub-CA, una subsidiaria o un revendedor de sus CA de confianza es hackeado. Esto también ha sucedido en el pasado. (Comodo Brasil por ejemplo.)
Entonces, ¿qué ayudará ahora?
Sin embargo, lo que lo protegerá es si utiliza un navegador que admita la fijación de certificados.
Como Google Chrome, por ejemplo. Ellos han construido en "Pin-Sets" para ciertos sitios. (Google, Facebook, Twitter, etc.)
No permitirán que se acepte un certificado emitido por otras entidades que no sean de confianza.
¿Qué soluciones existen, pero son demasiado molestas?
Lo que probé por un tiempo es la " Certificate Patrol " extensión de Firefox. (Última actualización en 2011.)
Te alarma, cuando ves nuevos certificados para un sitio. Y luego te pide que contestes sí o no.
Me pareció demasiado ruidoso para ser útil para mí.
Aquí hay un buen resumen en el capítulo 5 de este PDF:
2013-12-03, Mariana Isabel Oliveira Taveira & Thiago Sobral Marques da Silva, Certificados SSL y HTTPS: problemas en el modelo actual de Web Trust para la certificación digital
¿Qué podría ayudar en el futuro?
Lo que también podría ayudar en el futuro es " Transparencia del certificado ". Donde el concepto es que aunque se puedan generar certificados fraudulentos, al menos habrá un seguimiento de auditoría.
Y que los certificados sin pistas de auditoría se rechazan de inmediato. La idea es que cuando se descubre un hack de CA:
CT está en proceso de ser implementado de manera gradual. Una vez más, liderar el esfuerzo es Google Chrome, pero aún no se ha implementado en ninguna parte.
Dicho esto, si realmente quieres seguir adelante y crear un almacén de confianza de 3-CA, sigue leyendo.
Tres CA más grandes: Comodo, Symantec, GoDaddy
Este artículo dice que los tres más grandes encuestados (lo que sea que eso signifique) son Comodo, Symantec y GoDaddy.
W³Techs.com, Uso de las autoridades de certificación SSL para sitios web (Archivado aquí .)
Por lo tanto, podrías intentar establecer tu CA mínima con esas tres CA.
Lea otras preguntas en las etiquetas tls certificates certificate-authority