Cuando descargo un navegador como Mozilla, viene con varios certificados raíz.
¿Cómo confío en que estos certificados son legítimos? ¿Cómo sé que mi descarga no contiene algunos certificados de raíz falsos?
Sé que el software mismo pasará por una verificación de integridad durante la descarga (lo que descarta cualquier manipulación), sin embargo, la verificación de integridad se basa en que mi navegador existente confíe en el navegador que se está utilizando para descargar Mozilla a través de HTTPS. Básicamente, la descarga de Mozilla se basa en algún otro certificado raíz requerido en algún lugar durante el proceso de descarga. Parece ser un problema recursivo.
Entonces, mi pregunta es ¿cómo puedo confiar en el certificado raíz integrado en mi navegador?