Подумайте об этом. Если вы попытаетесь поместить неподписанный сертификат в хранилище доверенных корневых сертификатов, Windows сотрет его, потому что он не связан с существующими доверенными сертификатами, но что мешает кому-то удалить все сертификаты Windows и заменить их своими собственными? Таким образом, вы можете сделать так, чтобы практически любой сертификат принимался хранилищем доверенных корневых сертификатов. Это похоже на большую зияющую дыру в безопасности.
Этому препятствует не быть администратором. Это не дыра в безопасности, если машина у вас уже есть.
Это не только теоретическая «зияющая дыра в безопасности» - это вполне возможно и часть того, как работают сертификаты.
Организации постоянно включают в себя своих собственных доверенных поставщиков корневых сертификатов. Fiddler использует метод, аналогичный тому, который вы описываете, чтобы обеспечить дешифрование и анализ. Разработчики тоже делают это вручную.
Безопасность ОС имеет решающее значение - если ваша ОС будет скомпрометирована, все равно игра окончена.
Теоретически да, вы могли бы сделать это с большим количеством хлопот, имея в виду создание своих собственных «поддельных» цепочек доверия. Но чего бы вы добились? Вы получите доверие только к СВОЕМУ СЕРВЕРУ, не более того: - внешние клиенты по-прежнему будут использовать свои собственные цепочки доверия для проверки любых сертификатов - ваши внутренние пользователи склонны к ошибкам вас (как ИТ-администратора), поэтому вы можете подвергнуть их опасности многими более простыми способами ... но все же, как вы могли бы таким образом поставить под угрозу своих собственных локальных пользователей? Развертывая в своей сети веб-сайты обмана и фишинга? Вы в любом случае можете их скомпрометировать :) - кроме того, просмотр и доступ к другим внешним сертификатам с вашего сервера будет почти невозможен, так как вы разрушите все цепочки доверия
Так что я не вижу здесь никаких нарушений безопасности, никаких пробелов, ничего полезного.