Cuando el software necesita usar SSL / TLS, comúnmente quiere usar una lista de Autoridades de Certificación. Puede haber un software que simplemente siempre advierte para cada certificado desconocido, pero como usted dijo, Firefox y Chrome tienen una lista de CA.
El lugar donde obtengan esta lista depende del software. Puedes buscar en Google, sabes.
- Mozilla mantiene una lista propia de CA (para Firefox, Thunderbird, etc.)
- Chrome usa la lista de CA del sistema operativo, o al menos en Windows que leo.
- Opera mantiene una lista propia de CAs que parece.
- Safari usa la lista del sistema operativo (Apple en OS X y Microsoft en Windows).
Luego, acerca de su pregunta sobre cómo se obtiene esta lista: Tiene razón, si no se verificó que la descarga sea segura (de una manera segura), entonces todas las comunicaciones a partir de ahí son intrínsecamente inseguras. Cuando está descargando una distribución de Linux y sustituyo su descarga por una que tiene una lista de CA modificada, entonces sí, podría leer todas sus comunicaciones HTTPS. Sin embargo, probablemente es mucho más fácil simplemente instalar malware.
Tenga en cuenta que una suma de comprobación por sí sola no es la solución definitiva: la suma de comprobación debe obtenerse a través de una conexión segura (por ejemplo, https), o de lo contrario también se puede modificar.
Es gracioso: si necesita obtener la suma de comprobación en https, ¿de dónde obtuvo su navegador (o SO) actual una lista de CA? En algún lugar, siempre tienes que confiar en alguien o algo (como la tienda en la que compraste Windows), además de la confianza que depositas en las CA.