どの信頼されたルート証明機関を信頼する必要がありますか？

マシンにインストールされた疑わしいルート証明書に関する最近の2つのSlashdot記事（＃1 ＃2）の後で、自分のマシンに何をインストールしたかを詳しく調べることにしました。
（私はWindows 7のCAのリストを使用していると理解しているWin7でChromeの現在のバージョンを使用しています）

私が見つけたものは本当に私を驚かせました。

• 2つの比較的クリーンなマシンには、CAのリストが大幅に異なっていました。
• それぞれに1999年と2004年に有効期限が切れたCAがいくつかありました。
• 多くのCAのIDを理解するのは簡単ではありません。

また、おそらく現在不明なY2K38タイプのバグを回避するために、UNIXロールオーバーの少し前に2037年に多くの証明書が期限切れになることもわかりました。しかし、他の証明書はずっと長く有効です。

私は周りを検索しましたが、意外なことに、どのCAが一般的に受け入れられているかの正規のリストを見つけることができませんでした。

• 私のマシンにMITMの不正な証明書がある場合、どうすればそれを知ることができますか？
• 「承認された」証明書のリストはありますか？
• 期限切れのCAを削除しても安全ですか？
• HTTPSにCAを使用したことがあるかどうか、いつ使用したかを知ることはできますか？

私のマシンにMITMの不正な証明書がある場合、どうすればそれを知ることができますか？

あなたはしばしばそうしません。実際、これは多くの場合、SysAdminが従業員のHTTPSセッションをスヌーピングする方法です。従業員は信頼できる証明書をすべてのデスクトップに静かにプッシュし、その信頼できる証明書により、エンドユーザーに警告することなく、中間プロキシがMITMスキャンコンテンツにアクセスできるようになります。（「httpsプロキシグループポリシー用にCAをプッシュアウトする」を検索-評判が低く、リンクが不足しています！）

「承認された」証明書のリストはありますか？

いくつかの、一般的には標準のオペレーティングシステムインストールのデフォルトの証明書リストがあります。ただし、特定のブラウザ（たとえば、http：//mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp）にCAのハードコーディングされたリストがあり、拡張検証（「緑色のバー」）をサポートしています。ただし、EVリストも異なります（例：http://www.digicert.com/ssl-support/code-to-enable-green-bar.htm）

期限切れのCAを削除しても安全ですか？

一般に、はい...あなたがしているすべてがウェブサイトをサーフィンしているなら。ただし、特定の署名アプリケーションを実行すると、他の問題が発生する可能性があります。

HTTPSにCAを使用したことがあるかどうか、いつ使用したかを知ることはできますか？

うーん...書き物を必要とするアプリのような音。;）