Una teoria è che, idealmente , l'utente finale dovrebbe gestire il proprio archivio di CA radice affidabile, prendendo una decisione informata in base alle Pratiche di certificazione pubblicate dalla CA esistente.
Teoria e pratica coincidono solo in teoria, però. Non sorprende che la maggior parte degli utenti non possa e non possa gestire un simile processo di gestione, se non altro perché si basa su concetti altamente tecnici (non solo concetti crittografici, ma anche e soprattutto i concetti legali ). Pertanto, i fornitori di sistemi operativi e browser si assumono la responsabilità di decidere un elenco di "CA radice predefinita" che inseriranno nei loro browser e verranno considerati attendibili dalla stragrande maggioranza dei client distribuiti. Questi fornitori lo fanno come parte di procedure relativamente complesse con requisiti elevati sulla CA, ad es. assicurazioni e procedure dettagliate in vigore sul lato CA. (Vedi questa risposta .)
Al momento, CAcert è una CA "wannabe" che tenta di diventare una "CA fidata di predefinito ", ma non ha ancora raggiunto un'ampia accettazione da parte dei fornitori di OS / browser. Parte del problema è che i requisiti procedurali per una CA sicura hanno una strong controparte finanziaria: i requisiti di sicurezza fisica non sono economici (non si mette una CA seria "nel cloud", sono necessari locali protetti) e la CA deve dimostrare che ha i mezzi per continuare a lavorare a lungo, o almeno per fare una "chiusura pulita" in caso di cessazione dell'attività. Il denaro è la chiave. La posizione di CAcert di "rilasciamo certificati gratuiti" non aiuta a guadagnare abbastanza denaro per questo.