不同的浏览器和操作系统有不同的程序。例如，Chrome 采用操作系统的信任库（EV 证书除外），如chromium的根 CA 策略所示。

另一方面，Firefox 自己维护所有的 CA，根本不使用系统存储。他们还发布了包含政策。当然还有操作系统，比如Apples Root Certificate Program。

通常，它们都要求 CA 由WebTrust等公认的权威机构或同等机构认证。为了获得认证，CA 必须证明一些事情，比如它如何确定域的所有者、它如何保持根 CA 的私钥安全、流程和许多其他事情。WebTrust 提供了一个在线 PDF，其中包含所有要求。一些例子：

认证机构：

• 在其认证实践声明中披露其业务、关键生命周期管理、证书生命周期管理和 CA 环境控制实践；和
• 在其证书政策（如适用）中披露其业务、密钥生命周期管理、证书生命周期管理和 CA 环境控制政策。证书颁发机构保持有效的控制，以提供合理的保证：
• CA 的认证实践声明与其证书政策（如适用）一致；和
• CA 根据其证书政策（如适用）和认证实践声明提供服务

和

服务诚信

证书颁发机构保持有效的控制，以提供合理的保证：

• 它管理的密钥和证书的完整性在其整个生命周期中得到建立和保护；
• 订阅者信息经过适当验证（用于 ABC-CA 执行的注册活动）；和
• 从属 CA 证书请求是准确的、经过身份验证和批准的

然后当然 CA 必须为操作系统或浏览器供应商提供一些价值。私有 CA 不会添加到任何浏览器或操作系统的根 CA 存储中。苹果根证书计划的列表：

• 从此根证书颁发的证书的商业目的是什么？这个根支持什么业务？
• 您将向谁颁发证书？比如普通大众、某个组织的成员等等。
• root 支持哪些扩展密钥用法？例如，SSL 服务器授权、安全电子邮件、代码签名等。
• 如何验证请求从该根颁发的证书的人的身份？
• 指向证书实践声明的指针
• 您的 CA 实践经历的任何第三方审核的列表。可公开访问的服务器的 URL，可以验证从您的根颁发的证书

如您所见，进入根存储并不容易，供应商将定期重新评估其存储中的每个 CA。他们还有权利踢出任何它认为不够安全的 CA，就像DigiNotar一样。