Bírom, amikor valaki elszáll, és nem lát a lila ködtől! :)
Pont a lényeget nem érted.
Nem akárhonnan tölti le, hanem a szolgáltató szerveréről, amit hitelesítve van egy szaros, pl. netlock tanúsítvánnyal.
A kliensnek a felelőssége, hogy ne akárkitől akárki root ca-ját töltse le. Tehát a kliensgép szervezete felel azért, hogy jó forrásból jó root ca tanúsítványt töltsön le.
Az hogy a forrás jó legyen, megbízhatóan azonosítható a mindenki számára hiteles root ca által aláírt szervertanúsítvánnyal.
Tehát nem tud csak úgy előkerülni valahonnan egy root ca tanúsítvány.
A hülyék ellen nincs gyógyszer.