El sistema operativo viene con un conjunto de "CA raíz de confianza predeterminada". Así es como un navegador web puede conectarse a los sitios web HTTPS existentes y contentarse con sus certificados sin requerir que el usuario haga algo especial con su CA de confianza. De manera similar, el mecanismo de "actualización del sistema operativo" usará el mismo principio: aceptará una actualización solo si proviene de un servidor de confianza, con una noción de confianza relativa a una clave pública que ya conoce la máquina. Se puede tener en cuenta que las actualizaciones del sistema operativo pueden incluir actualizaciones en la tienda de la CA raíz de confianza predeterminada.
Por supuesto, esto plantea la cuestión de cómo llegó el sistema operativo en primer lugar. Todas estas CA raíz de confianza solo mueven el problema; La confianza todavía tiene que empezar en alguna parte. Por lo general, un medio físico (por ejemplo, un DVD) está involucrado; incluso más a menudo, esto se hace en la fábrica de computadoras, y el usuario obtiene una computadora con un sistema operativo preinstalado.
Si la CA raíz de la que está hablando es no parte de la "CA de confianza predeterminada" (es decir, esa CA específica no hizo un trato con Microsoft para que se incluya de forma predeterminada), entonces la confianza el sistema se reinicia mediante un procedimiento manual: cuando se instala la CA raíz, la máquina solicita confirmación al usuario; se muestra una huella digital del nuevo certificado. Thumprint es un valor de hash calculado sobre el certificado de CA raíz codificado completo. Se supone que el usuario debe verificar que el valor de hash mostrado coincida con un valor que se le comunicó a través de algún mecanismo fuera de banda (por ejemplo, con la documentación en papel).
La confianza debe comenzar en algún lugar, pero, gracias a la función hash criptográfica , "algún lugar" puede ser un valor lo suficientemente pequeño para ser manejado en el mundo físico, no informático (un usuario humano puede verificar que un valor hash de 40 caracteres coincida con el que se imprimió en algún papel).