Per interrompere questa discussione dai commenti sull'altra risposta: un problema con una singola CA dominante è che se c'è un problema che richiede di essere sostituito (ad esempio, i browser smettono di fidarsi di esso, o se falliscono), c'è bisogno di essere un posto dove tutti possano migrare. Questo è vero per qualsiasi CA, ma se i clienti sono sparsi in molti fornitori diversi, c'è un numero minore che deve migrare e cambiare fornitore sarà un evento più comune in quanto le persone si guardano attorno per ottenere l'offerta migliore.
Nel caso estremo, un monopolio collasso richiederebbe la creazione di una CA completamente nuova, o almeno una CA molto piccola da scalare molto rapidamente. Se i certificati esistenti possono essere considerati attendibili, ma nessuno viene emesso dopo una certa data, la scala temporale dipenderà dalla durata del rilascio dei certificati.
Se la CA emettesse certificati brevi e si affidasse a sistemi di rinnovo automatici, allora gli utenti avrebbero bisogno di sostituire la loro infrastruttura di automazione, o la nuova CA avrebbe bisogno di fornire un servizio compatibile. Questo sarebbe un po 'più facile se il servizio fornito dalla vecchia CA fosse basato su standard aperti o codice open source (come accade per Let's Encrypt), poiché la nuova CA non avrebbe bisogno di eseguire la retroingegnerizzazione per prenderla al di sopra di; allo stesso modo, potrebbero esserci degli scenari in cui la vecchia CA era disposta a cooperare nella transizione. Ci sarebbero ancora degli sforzi se la nuova CA non implementasse già lo stesso protocollo, naturalmente.