Trong mô hình PKI theo tiêu chuẩn X.509 thì mỗi chứng thực chỉ được ký bởi một thực thể duy nhất là nhà cung cấp chứng thực số (CA). Chứng thực của CA này có thể lại được ký bởi một nhà cung cấp chứng thực số khác cho tới CA cấp cao nhất (tự xác nhận - root CA). Do đó, các chứng thực gốc phải được phân phối rộng rãi và đảm bảo sẵn sàng bất cứ khi nào cần đến. Một cách phân phối đã được sử dụng là thông qua các trình duyệt và chương trình email máy khách. Bằng cách này, các trang web dùng giao thức SSL/TLS hay các email có thể được chứng thực mà người dùng không cần phải cài đặt các chứng thực gốc. Ngày nay, nhiều ứng dụng đã được cài sẵn hàng trăm chứng thực gốc của nhiều nhà cung cấp PKI khác nhau để có thể tự động nhận dạng phần lớn các chứng thực. Tuy nhiên trong số các chứng thực gốc được cài sẵn, một số lại thuộc về các công ty đã ngừng hoạt động (trong thời kỳ bong bóng đầu tư dot.com chẳng hạn). Vì thế trừ trường hợp các PKI này vẫn được quản lý tốt thì các PKI gốc đó không nên được sử dụng.