La raíz global es el propietario de la computadora.
Ellos deciden en qué raíces son confiables, o en la práctica, aceptan el criterio del proveedor y posiblemente agreguen algunos de los suyos.
Pero también pueden eliminar elementos de la lista de proveedores; muchos administradores, incluido yo, dejaron de diginotar, por ejemplo, a pesar de que MS los retuvo.
Si está en una red, sus administradores (quizás usted sea usted, ya que está leyendo S.SE) también pueden ejercer su propio criterio. ¿Quiero que mis usuarios confíen en una CA brasileña o ucraniana? Pueden estar bien, pero a) ¿cómo sé yb) por qué mis usuarios están en un sitio web de Ucrania o Brasil por motivos de trabajo? ¿Alguna vez hacemos negocios en esos países?
El último controlador es el administrador de la computadora, no el Gobierno Mundial, no Microsoft, Google, el Comisario de FireFox o cualquier otra persona.