Il sistema operativo viene fornito con una serie di "CA radice trusted di default". In questo modo un browser Web può connettersi ai siti Web HTTPS esistenti e accontentarsi dei loro certificati senza richiedere all'utente di eseguire operazioni speciali con la sua CA attendibile. Allo stesso modo, il meccanismo di "aggiornamento del sistema operativo" userà lo stesso principio: accetterà un aggiornamento solo se proviene da un server fidato, con una nozione di fiducia che è relativa a una chiave pubblica che è già nota alla macchina. Si può notare che gli aggiornamenti del sistema operativo possono includere aggiornamenti allo store di CA radice affidabile di default.
Ovviamente, ciò solleva la questione di come il sistema operativo sia arrivato fin dall'inizio. Tutte queste CA radice affidabili spostano solo il problema; la fiducia deve ancora iniziare da qualche parte. Di solito, un mezzo fisico (diciamo, un DVD) è coinvolto; ancora più spesso, questo è fatto nella fabbrica di computer, e l'utente ottiene un computer con un sistema operativo preinstallato.
Se la CA radice di cui si sta parlando è non parte della "CA attendibile predefinita" (cioè quella specifica CA non ha fatto un accordo con Microsoft per essere inclusa di default), quindi la fiducia il sistema viene riavviato da una procedura manuale: quando viene installata la CA principale, la macchina richiede conferma all'utente; viene visualizzata una identificazione personale del nuovo certificato. Il thumprint è un valore di hash calcolato tramite il certificato CA della radice codificato completo. Si suppone quindi che l'utente verifichi che il valore hash visualizzato corrisponda a un valore che gli è stato comunicato tramite un meccanismo fuori banda (ad esempio con la documentazione su carta).
La fiducia deve iniziare da qualche parte, ma, grazie alla funzione di hash crittografica , che "da qualche parte" può essere un valore abbastanza piccolo da gestire nel mondo fisico e non del computer (un utente umano può verificare che un valore di hash di 40 caratteri corrisponda a quello che è stato stampato su un foglio).