Affinché un certificato possa essere accettato, deve esserci una catena di trust da un certificato di root nel trust store dei clienti.
In genere il certificato radice non viene utilizzato per firmare direttamente i certificati dell'entità finale. Invece viene creato un "certificato intermedio". Il vantaggio di questo è che i certificati intermedi possono essere revocati più facilmente se compromessi, ma un certificato intermedio compromesso è ancora un problema di sicurezza molto grave in quanto la revoca è un processo fragile.
Per ottenere il loro certificato di root incluso nel trust store dei principali browser, le CA devono impegnarsi a seguire determinate procedure e ad essere controllate. Sfortunatamente i controlli sono di utilità limitata perché è praticamente impossibile dimostrare che le copie della chiave privata per i certificati root o intermedi non esistono al di fuori dell'infrastruttura controllata.
Le CA con i loro certificati di base nel browser possono anche emettere certificati intermedi ad altre entità che rendono queste entità essenzialmente CA. Il titolare del certificato di base dovrebbe assumersi la responsabilità delle azioni dei suoi subordinati, ma di nuovo è praticamente impossibile dimostrare che le chiavi dei certificati intermedi sono ben controllate.
Recentemente i fornitori di browser hanno iniziato a interessarsi maggiormente delle attività delle CA e in particolare hanno iniziato a cercare attivamente certificati emessi in uso su Internet. Hanno anche introdotto un sistema chiamato "trasparenza del certificato" che, se applicato, richiederà alle CA di dichiarare pubblicamente i certificati prima di essere accettati come validi.
Alcuni siti che vendono certificati sono gestiti da CA che detengono certificati radice. Alcuni sono gestiti da organizzazioni che hanno certificati intermedi ma non certificati root. Molti sono solo i rivenditori che inoltrano richieste di certificati alle organizzazioni nelle prime due categorie.