A volte, le CA vengono compromesse, come Diginotar o Comodo. In questo caso, qualsiasi cosa può succedere da singoli certificati che vengono revocati all'intero albero che viene rimosso dal negozio di certificati. Una società che non è a conoscenza di questo in tempo potrebbe trovarsi senza una CA attendibile.
Nel caso in cui ciò accada, TLS consente ad un sito web di avere fondamentalmente un certificato di backup nel caso in cui l'altro venga revocato? Oppure questo porta ad altri problemi di sicurezza?
Per essere chiari: non sto parlando di avere più CA radice che convalidano il tuo sito web con lo stesso certificato per avere più fiducia. Sto parlando di avere un certificato di backup, già distribuito sul sito web, che viene automaticamente controllato nel caso in cui la CA predefinita venga revocata, quindi il tuo sito web ha sempre fiducia.