我应该信任哪些受信任的根证书颁发机构？

在最近两篇关于机器上安装了可疑根证书的Slashdot文章（＃1 ＃2）之后，我决定仔细研究一下我在机器上安装的内容。
（我在Win7上使用当前版本的Chrome，据我所知使用Windows的Windows列表）

我发现的确让我感到惊讶。

• 两台相对干净的机器有着截然不同的CA列表。
• 每个人都有许多在1999年和2004年过期的CA！
• 许多CA的身份并不容易理解。

我还看到许多证书在UNIX翻转之前不久在2037年到期，大概是为了避免任何当前未知的Y2K38类型的错误。但其他证书的好处要长得多。

我搜索了一下，但是，有些令人惊讶的是，找不到一个通常接受哪些CA的规范列表。

• 如果我的机器上有MITM流氓证书，我怎么会知道？
• 是否存在“已接受”证书列表？
• 我可以安全地删除过期的CA吗？
• 我能知道是否/何时我都曾经使用了CA对HTTPS？

如果我的机器上有MITM流氓证书，我怎么会知道？

你经常不会。实际上，这通常是SysAdmins监听员工的HTTPS会话的方式：他们悄悄地将受信任的证书推送到所有桌面，并且该受信任的证书允许中间代理到MITM扫描内容而不警告最终用户。（查找“推出CA for https代理组策略” - 用尽我低声望的链接！）

是否存在“已接受”证书列表？

有一些，通常是库存操作系统安装的默认证书列表。但是，在某些浏览器（例如，http：//mxr.mozilla.org/mozilla-central/source/security/certverifier/ExtendedValidation.cpp）中还有CA的硬编码列表，以支持扩展验证（“绿色条形图”），但EV列表也各不相同（例如，http：//www.digicert.com/ssl-support/code-to-enable-green-bar.htm）

我可以安全地删除过期的CA吗？

一般来说，是的...如果您所做的只是浏览网站。但是，您可能会遇到运行某些签名应用程序的其他问题。

我可以知道是否/何时使用过CA的CA？

嗯...听起来像一个需要写作的应用程序。;）