根存储是受信任的根CA证书的列表。 证书颁发机构(CA)使用一个或多个根证书作为该证书的信任锚。 证书等级 CA问题。 面向公众的根存储通常在主要软件提供商的授权下进行维护,该软件提供商将其根存储与依赖该根存储的软件一起分发以确定信任。 浏览器和操作系统的许多提供程序都在运行自己的根存储程序,并且CA可能会使用该程序的标准来申请接受到根存储中。 例如,Mozilla项目维护一个由其Firefox浏览器和Thunderbird电子邮件客户端使用的根存储,并且CA可以申请接受符合Mozilla根存储策略要求的存储。 如果CA无法满足该程序的预期标准,也可以将其从根存储中删除。
要记住的重要一点是,每个根存储都彼此独立。 Mozilla,Microsoft,Apple和Google各自维护自己的根存储。 但是,许多其他软件提供商和服务可能会在自己的产品中采用或允许使用这些主要根存储之一。 例如,对于自2013年以来发布的版本,Opera浏览器(以前用来操作其自身的根存储)现在会遵从基础操作系统的根存储。
其他组织也可能出于自己的目的维护根存储-像纽约独立系统运营商(NYISO)这样的能源部门机构可能会维护根存储,以控制和保护对能源交易和监视系统的访问。