Je rappelle aussi:
- Que Deutsch-Telecom (qui est aussi une autorité de certification) avait admis avoir écouté illégalement des journalistes.
- Que vous avez aussi dans votre système les certificats de plusieurs dictatures (Chine, etc. https://sebsauvage.net/links/?h3sW-A) et entreprises privées (Amazon, Microsoft, Google, Symantec, Verizon...)
- Que certaines dictatures ne se privent pas, ainsi, de générer de faux certificats qui ne lèveront donc aucune alerte dans le navigateur (https://sebsauvage.net/links/?zCXcTQ)
- Que certains éditeurs insèrent des certificats de dictatures ou autre organisations louches à travers le système de mises à jour (coucou Microsoft, coucou l'ex-dictature Tunisienne).
- Que certaines autorités de certification se sont déjà fait pirater par le passé (DigiNotar)
- Que certaines autorités de certification ont été pris la main dans le sac à générer des certificats bidons (https://sebsauvage.net/links/?uboY5Q)
- Que certains fournisseurs d'accès DE MERDE génèrent de faux certificats (https://sebsauvage.net/links/?RWF4Pg)
- Que certaines entreprises font ça aussi en interne (en installant des certificats maison) (https://sebsauvage.net/rhaa/index.php?2010/11/08/19/54/41)
- Que certains logiciels vont allègrement bidouiller vos listes d'autorités (https://sebsauvage.net/links/?YNBM6w)
- Que certains fabricants d'ordinateurs insèrent leurs propres certificats racine dans le système (https://sebsauvage.net/links/?RuCjog)
- Que certains logiciels interceptent à la volée les certificats pour les modifier (les "filtres web" des antivirus Windows)
- Que certaines autorités de certifications vendent aussi du matériel de surveillance (https://sebsauvage.net/links/?Y1tbmw)

Donc c'est un immense bordel.
Sur le principe, on ne devrait faire confiance aux autorités racine qu'au cas par cas, mais c'est trop demander à l'utilisateur de base.
Donc on est dans la merde, avec aucune solution de remplacement viable.