OpenSSL padrão razoável para certificados de CA confiáveis?

Existe uma maneira de configurar um contexto OpenSSL (SSL_CTX) com um conjunto razoável de certificados CA confiáveissem distribuindo eu mesmo? Eu não quero a responsabilidade de mantê-los atualizados. IMO qualquer sistema operacional moderno deve fornecer "obter-me os certificados de CA confiável" como um serviço, mas eu não sei se é realmente o caso.

Não me importo de escrever esse código três vezes (uma vez para o Windows, uma vez para o Mac OS X e uma vez para o Linux), mas prefiro limitar isso a isso. Em particular, prefiro não tentar escrever código que procure por quais navegadores estão instalados e tentando extrair seus certificados confiáveis. (Aparentemente éfácil de entender isso muito errado.)

A resposta para versões recentes do Linux parece ser chamarSSL_CTX_load_verify_locations com/etc/ssl/certs/ca-certificates.crt (se esse arquivo existir).

Existem respostas simples para o Windows e o Mac OS X?

questionAnswers(3)

yourAnswerToTheQuestion