Fondamentalmente, ogni CA fa esattamente ciò che vuole fare. Tuttavia, i fornitori di sistemi operativi e browser non accettano solo CA come "trusted root". Per esempio. Microsoft esegue un programma di certificazione radice che definisce le condizioni contrattuali che una CA deve soddisfare per ottenere la sua chiave pubblica CA di root inclusa nel "negozio di fiducia" di tutti i sistemi Windows. Queste condizioni includono molti dettagli legali, accordi finanziari (in particolare assicurazioni) e anche che l'AC rispetta procedure chiaramente documentate per tutto ciò che fa. In pratica, l'AC dovrà effettuare alcune ricerche per verificare la proprietà del dominio e eliminare i tentativi di phishing prima di concedere un certificato.
Il forum CA / Browser è un'organizzazione che tenta di stabilire i requisiti di base per tali lavori. Vedi anche WebTrust , che mira ad essere una fedele incarnazione dei principi stabiliti dal forum CA / Browser.
I certificati di convalida estesa sono certificati emessi dalla CA che seguono severi requisiti (incluse le procedure anti-phishing), lungo le linee definite da queste organizzazioni. I browser che si conformano alle linee guida del CA / Browser forum dovrebbero visualizzare i certificati EV con un'indicazione visiva specifica e non per utilizzare tale indicazione per i certificati non EV - in effetti, i certificati EV sono un metodo per definire una whitelist di "buona CA" all'interno della giungla della CA esistente.
(Si è notato che sebbene Microsoft e Firefox e Chrome abbiano regole severe sull'inclusione di CA commerciali, difficilmente possono permettersi politicamente di rifiutare una "CA del governo" da qualsiasi governo abbastanza grande, sebbene queste CA non siano necessariamente mantenute bene e documentato. "EV" è una risposta a quel triste stato di cose: i browser includeranno tali dubbiosi CA ma non li etichetteranno come "EV".)