証明書発行者はどのようにして信頼されるようになりますか？

これは、新しい信頼できる証明書発行者を永久に追加することが不可能であることを意味しますか？コンピュータ製造業者の同意なしに自分のルートCAを起動することは不可能ですか？

新しいCAを作成し、製造元の協力を得て、その証明書を信頼済みリストに追加できます。これは、コンピューターの製造元、OSの製造元、またはブラウザーの製造元である可能性があります。たとえば、letsencrypt.orgイニシアチブでは、ブラウザーが信頼済みリストに証明書を追加する必要があります（これが行われます）。

また、信頼できるリストからCAを削除することもできます。 これは最近起こった 。

明確にするために、他の投稿者が述べたように、ユーザーはいつでも自分の証明書を作成し、それらを信頼することができます。これによりCAになりますが、CA（証明書の正当性を検証する第三者）の目的に反するため、これは良い考えではありません。最近では、letsencryptのようなプロジェクトがあり、メーカーが信頼するドメインの証明書に人々が簡単かつ安価にアクセスできるようにしたいと考えています。本当に時代のしるし！

また、攻撃者が「信頼された」証明書を単に人々のコンピュータにインストールするのを阻止しているのは何ですか？

管理者権限を持つユーザーは、システムに信頼できる証明書を追加できます。その上、ブラウザーの場合、ユーザーはブラウザーに常に証明書を信頼するように指示することができます。

デルは最近、自分たちが作成した証明書をプレインストールし、誤って秘密鍵をそれに含めたことで、これを行いました。

これは、信頼できる新しい証明書発行者を永久に追加することが不可能であることを意味しますか？コンピュータ製造業者の同意なしに自分のルートCAを起動することは不可能ですか？

私の組織はどのようにしてルートCAになれますか？

攻撃者が "信頼された"証明書をユーザーのコンピュータに単にインストールするのを阻止しているのは何ですか？

システムに証明書を追加するには、管理者権限が必要です。 Windowsマシンでは、[実行]ダイアログボックスにcertmgr.mscと入力して、インストールされている証明書を確認できます。システムにプリインストールされているすべての証明書が表示されます。ここに独自の自己署名証明書を追加できますが、追加する前に注意する必要があります。 自己署名SSLを使用するリスクは何ですか？

これは、信頼できる新しい証明書発行者を永久に追加することが不可能であることを意味しますか？コンピュータメーカーの同意なしに自分のルートCAを開始することは不可能ですか？

新しい信頼できる証明書を永久に追加することは不可能ではありません。
独自のCAを開始することが可能です。しかし、唯一の問題は、ハードウェアメーカーまたはソフトウェアメーカー（ブラウザーとソフトウェア）のメーカーの同意なしに、他のすべてのコンピューターにインストールできないことです。

また、攻撃者が「信頼された」証明書を単に人々のコンピュータにインストールするのを阻止しているのは何ですか？

ユーザー特権などのオンボードセキュリティ対策、ウイルス対策ソフトウェアなどの外部セキュリティ対策、ブラウザのセキュリティ対策により、不要な証明書がシステムにインストールされないようにします。