它已经完成了：

它是FPKI根 CA，受到美国政府的明确和完全控制。默认情况下，Windows 已经信任它。

在您开始删除根 CA 证书、烧毁计算机主板或喝一加仑伏特加之前，请考虑一下这意味着什么。这意味着美国政府在技术上可以为您正在浏览的任何 SSL 站点发出一个假证书——但证书链会指向美国政府。这就是在客户端拥有“受信任的 CA”的意义所在：以便客户端可以验证证书链。因此，这样的伪造网站很难成为窃听通信的谨慎方式。只需一个用户单击挂锁图标，查看证书链，注意 FPKI 根，并在 Twitter 上模拟奥巴马。

将您自己的根 CA 推送到受害者的“受信任的存储”中并不是在他们不注意的情况下监视他人的适当方式。虽然它是一个政府机构，但作为一个整体的 NSA 通常并不那么愚蠢。

NSA 可以而且很可能已经使用美国爱国者法案要求函或其他类似的立法工具向美国所有主要 CA（例如 VeriSign、GeoTrust 等）发送并要求他们汇出私人“没有这样的机构”的根密钥，“出于‘国家安全’的目的”。

当然，所有此类请求都必须（根据爱国者法案）保密，并且 CA 必须向公众谎称他们遵守了请求，或者 CA 的首席执行官（以及他们所涉及的任何下属）是受长期监禁（如果有审判，在秘密法庭秘密进行）。

以上都不是毫无根据的猜测；它基于众所周知的美国法律，美国历届政府（布什和奥巴马）都拒绝以任何有意义的方式改变这些法律，鉴于斯诺登的爆料，假设这种情况还没有发生是极其愚蠢的发生了。

所以是的 - 简单的答案是，“NSA 不需要做任何特别的事情来设置根 CA；因为它可以轻松地随意冒充任何现有的（美国）CA”。

不。除了您的信任商店中明显的政府根 CA；NSA 是一个间谍机构，因此很可能已经窃取了其他几个 CA 的私钥。如果他们是狡猾的，他们会窃取其他政府 CA的私钥以进行潜在的虚假标记操作。

此外，除非每个操作系统和浏览器都明确地将其更新锁定到特定 CA 或证书，否则他们可以使用他们拥有或控制的任何根 CA 将新的匿名 CA（例如Issuer: Voldemort）添加到信任库，以便将来进行回溯恰恰无处。

他们不需要提供另一个指向他们的证书。他们只需要服务器证书的私钥就可以窃听通信，如果您有这种资源，这可能很容易获得。