Le autorità di certificazione si firmano a vicenda quando si sposano insieme.
Quando CA Y emette un certificato per CA Z , qualsiasi sistema che si fida di Y acquisirà indirettamente sicurezza in tutto ciò che Z , poiché, per ogni certificato X emesso (firmato) da Z , un sistema che si affida a Y costruirà la catena Y → Z → X . Pertanto, questa certificazione incrociata rappresenta un'affermazione di Y che sostanzialmente dice: "tutto ciò che Z firma è buono come se io, Y , l'avevo firmato da solo ".
Se CA Z rilascia anche un certificato per CA Y , la fiducia va in entrambe le direzioni. Ogni sistema che si fida di Y o Z sarà in grado di convalidare i certificati emessi da entrambi. Le due CA sono ora davvero una, almeno per quanto riguarda la fiducia.
Un divorzio richiederebbe revocare entrambi i certificati incrociati, o almeno non riuscire a emetterne di nuovi quando scadono i certificati incrociati.
(In pratica, questo genere di cose accade quando viene creata una nuova CA ma è "moralmente" una sostituzione per la vecchia, o quando avviene una fusione tra due aziende e cercano di fondere insieme i loro sistemi informatici interni).