Un archivio radice è un elenco di certificati CA radice attendibili. Un'autorità di certificazione (CA) utilizza uno o più certificati radice come ancoraggio sicuro per gerarchia dei certificati i problemi della CA. Un archivio radice pubblico è di solito gestito sotto l'autorità di un importante fornitore di software, che distribuisce il proprio archivio radice insieme al software che dipende da esso per determinare la fiducia. Molti provider di browser e sistemi operativi gestiscono i propri programmi di archivio radice e le CA possono richiedere di essere accettate in un archivio radice utilizzando i criteri di quel programma. Il progetto Mozilla, ad esempio, mantiene un archivio principale utilizzato dal browser Firefox e dal client di posta elettronica Thunderbird e una CA può richiedere l'accettazione che soddisfi i requisiti della politica del deposito radice di Mozilla. Una CA può anche essere rimossa da un archivio radice se non soddisfa gli standard previsti di quel programma.
Un punto importante da ricordare è che ciascun archivio radice è indipendente dall'altro. Mozilla, Microsoft, Apple e Google mantengono ciascuno i propri negozi root. Molti altri fornitori e servizi software, tuttavia, possono adottare o consentire l'uso di uno di questi principali negozi root nei propri prodotti. Ad esempio, il browser Opera (che un tempo gestiva un archivio root) ora passa all'archivio radice del sistema operativo sottostante per le versioni rilasciate dal 2013.
