¿Esto significa que es imposible agregar nuevos emisores de certificados de confianza?
¿Siempre? ¿Es imposible para uno iniciar su propia CA raíz?
¿Sin el consentimiento de los fabricantes de computadoras?
Se puede crear una nueva CA y sus certificados se pueden agregar a la lista de confianza con la cooperación de los fabricantes. Este podría ser el fabricante de la computadora, el fabricante del sistema operativo o el fabricante del navegador. Por ejemplo, la iniciativa letsencrypt.org requeriría que los navegadores tengan el certificado agregado en la lista de confianza (que se realizará).
También es posible eliminar una CA de una lista de confianza. Esto ha sucedido recientemente .
Solo para aclarar, como mencionan otros pósteres, un usuario siempre puede hacer sus propios certificados y confiar en ellos. Esto los convierte en un CA pero no es una buena idea, ya que anula el propósito de un CA (un tercero que verifica la legitimidad de un certificado). En estos días, hay proyectos como letsencrypt que esperan que sea fácil y muy barato que las personas tengan acceso a certificados para sus dominios en los que confían los fabricantes. ¡Verdaderamente un signo de los tiempos!
Además, ¿qué impide que un atacante simplemente instale "de confianza"?
¿Certificados en las computadoras de las personas?
Cualquier usuario con privilegios de administrador puede agregar un certificado de confianza en un sistema. Además de eso, para los navegadores, cualquier usuario puede simplemente decirle a su navegador que confíe siempre en un certificado.
Dell hizo esto recientemente preinstalando un certificado se crearon a sí mismos e incluyeron accidentalmente la clave privada con él.