Resposta curta: Você não pode realmente saber quais são confiáveis (e você está certo de que é realmente muito complexo pedir ao usuário para tomar uma decisão como essa durante a atualização). Para a maioria das pessoas, é melhor permitir que o Mozilla e o Google gerenciem seus respectivos armazenamentos de confiança, pois eles proibirão ou restringirão quaisquer CAs que estejam violando a confiança.
Resposta mais longa: Até mesmo as ACs que são supostamente as mais "confiáveis" estão sendo encontradas com frequência. Por exemplo, o Google descobriu recentemente que a Symantec (uma autoridade de certificação que mais acredita ser um pilar de confiabilidade, especialmente porque é proprietária da VeriSign) CNNIC , Comodo , Comodo novamente , e o agora extinto DigiNotar são alguns exemplos). Está ficando cada vez mais claro que a própria indústria não sabe como verificar com precisão a confiabilidade da CA.
Além disso, entenda que até mesmo as autoridades de certificação que estão seguindo as regras podem ser abusadas porque empregam sistemas automatizados. Por exemplo, a CA totalmente automatizada, vamos criptografar pode ser abusado para tornar os sites de phishing mais confiáveis, e o Let's Encrypt não está realmente fazendo nada errado. É importante entender o que está sendo afirmado quando você visita um site "seguro". Os certificados de validação de domínio (os mais comuns) apenas afirmam que a pessoa que registrou o certificado também possui o domínio e que você tem uma conexão segura com o servidor desse domínio. Eles não afirmam nada sobre quem é a pessoa ou empresa que opera esse domínio.
Se você estiver muito preocupado com a segurança e com a possibilidade de autoridades de certificação menos conhecidas emitirem certificados, uma boa regra é confiar apenas em autoridades de certificação que possam emitir certificados para os principais sites que você visita. Para muitas pessoas, essas seriam as principais autoridades certificadoras dos EUA e da União Européia (aqui estão os 10 melhores de 2015.) , mas tenha em mente que o Let's Encrypt também é um grande player agora também. Posteriormente, você poderá adicionar confiança para CAs adicionais, conforme for necessário.