Não consigo encontrar onde a lista padrão de CA's confiáveis está na minha build fedora (23). Toda vez que eu achei que tinha chegado perto, encontrei um README avisando que o arquivo que eu estava vendo seria substituído se o comando update-ca-trust fosse executado. E isso foi verificado por mim quando eu estava fazendo edições keystore java para
/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.92-1.b14.fc23.x86_64/jre/lib/security/cacerts (minhas exclusões foram adicionadas de volta)
O README fez referência a mim para olhar: /usr/share/pki/ca-trust-source/ e /etc/pki/ca-trust/source/ no entanto ambos parecem ser deadends, como todo arquivo crt eu executei um openssl x509 para inspecionar em não listar todos os ca's raiz.
Um exemplo de uma das CAs raiz "confiáveis" padrão que eu gostaria de remover:
Alias name: chinainternetnetworkinformationcenterevcertificatesroot
Creation date: Jul 5, 2016
Entry type: trustedCertEntry
Owner: CN=China Internet Network Information Center EV Certificates Root, O=China Internet Network Information Center, C=CN
Issuer: CN=China Internet Network Information Center EV Certificates Root, O=China Internet Network Information Center, C=CN
Serial number: 489f0001
Valid from: Tue Aug 31 03:11:25 EDT 2010 until: Sat Aug 31 03:11:25 EDT 2030
Certificate fingerprints:
MD5: 55:5D:63:00:97:BD:6A:97:F5:67:AB:4B:FB:6E:63:15
SHA1: 4F:99:AA:93:FB:2B:D1:37:26:A1:99:4A:CE:7F:F0:05:F2:93:5D:1E
SHA256: 1C:01:C6:F4:DB:B2:FE:FC:22:55:8B:2B:CA:32:56:3F:49:84:4A:CF:C3:2B:7B:E4:B0:FF:59:9F:9E:8C:7A:F7
Signature algorithm name: SHA1withRSA
Version: 3
Tags certificates fedora