Se inserisci il certificato CA intermedio nell'archivio "trusted root", allora stai istruendo la tua macchina in modo che si fidi di quel certificato ex nihilo . L'hai trasformato in una radice affidabile. Quando, ad esempio, il tuo browser cerca di convalidare un certificato emesso da quella CA "intermedia", lo accetterà con una catena che inizia con quella CA, ignorando totalmente la vera CA di origine.
La conseguenza fondamentale è che la CA intermedia non può più essere revocata: poiché la macchina si fida di tale certificato in virtù del fatto che si trova nell'archivio "trusted root" e non in virtù del fatto che è firmato da un altro certificato attendibile, quindi non ha alcun motivo per scaricare un CRL che lo copra. Per definizione, le radici affidabili non vengono revocate; vengono installati manualmente e, se non sono più attendibili, vengono rimossi manualmente.
Quindi, la collocazione è importante. I certificati nell'archivio "trusted root" devono essere gestiti esplicitamente, quindi è necessario inserire solo i certificati CA che si intende gestire in modo esplicito. "Gestione esplicita" qui significa "quando il certificato non deve più essere considerato attendibile, il sysadmin deve rimuovere manualmente il certificato dall'archivio".