Корневой CA перечислит, становятся устаревшими, если я никогда не перезапускаю/обновляю ОС? Или Ubuntu периодически обновляет корневой список CA в фоновом режиме автоматически (без перезапуска/обновления)?
Корневые сертификаты CA живут в пакете ca-certificates
. Это очень редко обновляется. Обновление этого пакета не требует перезагрузки. Обратите внимание, что Firefox использует свое собственное хранилище сертификатов.