PKIのルートCAはどこを信頼すればいいか。

こんにちわ。 質問の意図がいまいちよくわかりませんが、要するにもともとIEに登録されているルートCAが 信頼できない、と言われているのでしょうか？ IEに登録されているルートCAは、MicrosoftがWindowsというOSにプレインストールした状態で 配布しているものです。たしかにルートCAの証明書をどのように配布するのか、という問題は PKIを考える上で非常に重要ですが、これについてはMicrosoftを信頼するしかありません。 ＃自分でIE以外のブラウザをダウンロード・導入しても、結局その配布元がデフォルトで ＃そのブラウザに登録してあるルートCAを信頼する、ということになります。 もしIEに登録されているルートCAを消してしまうと、その後HTTPSを利用したWebサイトを 訪問するたびに、”このWebサイトの証明書を検証することができない”という警告が あがることになります。このため、事実上ルートCAを自分の手で消す、という作業は、 ある意味自分の手で自分の首を絞めているようなものです。 ＃インターネットに接続されていないクローズドな環境で、PKIを利用したシステム ＃を利用するために設置された端末に対して行うのであればこの限りではありませんが、 ＃そのような状況はそうそうはないでしょう。 また、仮りにここで私を含む誰かが”ここのルートCAならば信用できます”と書き込んだ 所で、それを裏付ける証拠はどこにもないのはお分かりになるかと思います。 それを承知の上であえて書くのであれば、たとえばVerisignは、世界でもっとも 信頼されている認証業者の一つであるといえるでしょう。