Le CA radice non si fidano l'una dell'altra e in realtà non parlano tra loro. Ogni CA radice vive nel proprio mondo, da solo. La CA principale non si fida di nessuno; va il contrario. Questo è anche il punto in cui l'analogia bancaria si rompe: le banche devono parlare tra loro, mentre le CA radice si ignorano a vicenda.
Tu (o il tuo sistema operativo o browser) si fida di una o più CA radice per affermare cose su identità e chiavi pubbliche. Le varie radici non devono assumere o anche essere consapevoli che ci si fida di più di loro contemporaneamente. È il tuo problema, non il loro. In pratica, il tuo sistema operativo o il fornitore del browser ha scelto per te che ti fidi di un centinaio di CA radice, che puoi vedere ispezionando i menu di configurazione del browser.
La cross-trust tra CA è un evento raro, che di solito accade in natura come conseguenza delle fusioni: due aziende, ciascuna con la propria CA interna, decidono di fondersi in un'unica entità. Ma i sistemi desktop implementati in quello che prima era un business Un unico trust rootA, mentre i sistemi distribuiti dal business B si fidano solo di rootB. La soluzione ideale sarebbe quella di modificare tutti i sistemi in modo che tutti si fidino sia rootA che di rootB, ma questo è un lavoro duro (a seconda di come i computer sono gestiti nell'organizzazione, potrebbero devono inviare amministratori di sistema di fronte a ciascuna delle migliaia di PC, per fare le poche operazioni necessarie) e potrebbe richiedere del tempo. Quindi, nel frattempo, qualcosa può essere fatto a livello di CA: make rootA emette un certificato (un certificato CA intermedio ) per rootB (e viceversa). Ciò significa che rootA afferma che chiunque abbia fiducia in rootA può anche fidarsi di ciò che proviene da rootB (e viceversa).
Alcune persone hanno investito molto pensiero nell'elaborazione della terminologia per i vari casi di cross-trust; vedi RFC 5217 per (molti) dettagli. Tuttavia, insisto, questo non accade spesso nel "mondo reale".