何よりも重要なのは CA 自体を信頼できるかどうかです。アイデンティティを確認して信頼できると宣言する証明書を発行する権限は、誰が付与しているのでしょうか。
企業や他の組織のイントラネットの場合、CA は管理部門の指示で設置された部門であることがよくあります。インターネットの場合は、世界中で高い評価を得ていることから広く信頼されるようになった多数の民間の CA が存在します。
その評価を維持するために、CA のサーバーはハッカーだけでなくオンサイトの物理的な干渉からも安全に保つことが期待され、公式なルート以外からは証明書を作成できないようにすることが求められます。CA の CPS を確認する際は、CA のスタッフによるサーバーへの物理的なアクセスについての厳密なルールが細かく規定されていることを確認する必要があります。