Certificados de CA não têm nada a ver com ser um servidor da web . Em particular, eles são necessários principalmente por TLS clientes , já que é o cliente que se preocupa em verificar o próprio certificado do servidor. Todos os sistemas operacionais são fornecidos com essa lista.
Existem muitos usos não HTTP de TLS (como o tráfego de e-mail SMTP / IMAP), mas até mesmo o mesmo HTTPS é usado por muitos programas não "web" - por exemplo, muitos pacman espelhos usam https: //, portanto, também precisam da coleção de certificados de CA.
No Arch Linux, a lista principal de "autoridades de certificação confiáveis" é ca-certificates-mozilla , dividida do pacote nss do Mozilla. Em outras palavras, é o mesmo que o Mozilla coloca no Firefox, assim você pode cruzar todos os certificados recém-adicionados contra Bugzilla e muitas vezes contra o rastreador de bugs do Google do Google (que mantém sua própria lista). Os certificados OpenTrust / Certplus parecem ser apenas renovações ( bugzilla e chromium ), assim como o HARICA ( bugzilla ).
Observe que as cópias mestras de CAs confiáveis são instaladas em /usr/share/ca-certificates (não rastreado pelo etckeeper). O que você está vendo em /etc é meramente a saída da conversão automatizada em formato compatível com OpenSSL (os links simbólicos ????????.0 sendo OpenSSL "hashed"); veja a página de manual update-ca-trust (8) para saber como atualizá-lo.