If I had a MITM rogue cert on my machine, how would I even know?
Você frequentemente não faria isso. Na verdade, muitas vezes é como os SysAdmins espionam as sessões HTTPS dos funcionários: enviam silenciosamente um certificado confiável para todos os desktops, e esse certificado confiável permite um proxy intermediário para o conteúdo de verificação do MITM sem alertar os usuários finais. (Olhe para cima "push out CA para https proxy group policy" - ficou sem links com a minha baixa reputação!)
Does a list of "accepted" certs exist?
Existem algumas, geralmente a lista padrão de certificados nas instalações do sistema operacional de estoque. No entanto, também existem listas codificadas de autoridades de certificação em certos navegadores (por exemplo, link ) para suportar Extended Validation ("barras verdes"), mas as listas EV também variam (por exemplo, link )
Am I safe in removing the expired CAs?
Geralmente, sim ... se tudo o que você está fazendo é navegar em sites. No entanto, você pode encontrar outros problemas ao executar determinados aplicativos de assinatura.
Can I know if/when I have ever used a CA for HTTPS?
Hmmmm ... parece um aplicativo que precisa ser escrito. ;)