Básicamente, cualquier CA hace exactamente lo que desea hacer. Sin embargo, los proveedores de sistemas operativos y navegadores no aceptarán cualquier CA como una "raíz confiable". P.ej. Microsoft ejecuta un programa de certificado raíz que define las condiciones contractuales que debe cumplir una CA para obtener su clave pública de CA raíz incluida en el "almacén de confianza" de todos los sistemas Windows. Estas condiciones incluyen una gran cantidad de detalles legales, acuerdos financieros (especialmente seguros) y también que la CA respeta procedimientos claramente documentados para todo lo que hace. En la práctica, la CA tendrá que investigar un poco para verificar la propiedad del dominio y eliminar los intentos de phishing obvios antes de otorgar un certificado.
El CA / Browser forum es una organización que trata de establecer requisitos de referencia para dichos trabajos. Vea también WebTrust , que apunta a ser una encarnación fiel de los principios establecidos por el foro CA / Browser.
Certificados de validación extendida son certificados emitidos por CA que cumplen con los requisitos estrictos (incluidos los procedimientos de suplantación de identidad). En la línea definida por estas organizaciones. Los navegadores que cumplen con las pautas del foro de CA / Browser deben mostrar certificados EV con una indicación visual específica, y no para usar esa indicación para certificados que no son EV; en efecto, los certificados EV son un método para definir una lista blanca de "buena CA" dentro de la jungla de la CA existente.
(Se ha observado que aunque Microsoft, Firefox y Chrome tienen reglas estrictas sobre la inclusión de CA comerciales, difícilmente pueden permitirse políticamente rechazar un "gobierno CA" de cualquier gobierno lo suficientemente grande, aunque estos CA no están necesariamente bien mantenidos y documentado. "EV" es una respuesta a ese triste estado de cosas: los navegadores incluirán una CA dudosa pero no los etiquetarán como "EV".)