TLS ist nur so sicher wie die Gesamtheit der Root-CAs, der das eigene Gerät vertraut. Immer wieder ist es vorgekommen, dass irgendwelche zwielichtigen CAs Zertifikate ausgestellt haben, die sich nicht hätten ausstellen sollen. Der Browser behauptet dann sogar noch, es würde sich um eine verifizierte, sichere Webseite handeln; ist sie aber nicht.

Das Problem ergibt aus zwei Teilaspekten:

1. Browser und Betriebssysteme haben schon eine ganze lange Liste an Root-CAs eingebaut und vertrauen ihnen damit ohne Nachfrage beim Nutzer
2. Es reicht aus, wenn nur ein einziger Anbieter in der Liste kompromittiert und nicht vertrauenswürdig ist, um einen Weg an all den anderen vertrauenswürdigen CAs vorbei zu bieten.

Aus diesem Grund deaktiviere ich in Android unter Einstellungen > Sicherheit > Vertrauenswürdige Anmeldedaten alle CAs und schalte nur die ein, die von Webseiten oder Apps benötigt werden.

Leider melden die meisten Apps bei einem ungültigen Zertifikat (durch deaktivierte zugehörige CA) meist nur "Keine Internetverbindung". Allein der DB-Navigator der Deutschen Bahn meldet einen "Zertifikatsfehler".

Im Folgende liste ich alle CAs auf, die ich bei mir benötige. Einige CAs bieten eine ganze Liste an Zertifikaten. Um es nicht unnötig kompliziert zu machen, aktiviere ich alle Zertifikate je CA, wenn ich auch zunächst nur eines von dieser CA benötige. Sollte die CA nicht mehr vertrauenswürdig sein, ist es letztlich egal, durch welches ihrer Zertifikate.

Aktiviert:

Baltimore

COMODO CA Limited

D-Trust GmbH

Deutsche Telekom AG

DigiCert Inc

Digital SIgnature Trust

GeoTrust Inc.

GlobalSign

GoDaddy.com (für Drive Now App, obwohl drive-now.com Geotrust verwendet)

IdenTrust

Starfield Technologies, Inc.

Swisscom

T-Systems Enterprise Services GmbH

thawte, Inc.

VeriSign, Inc.

Alle anderen habe ich deaktiviert.