Jenže ten druhý "nezávislý" systém obsahuje mnoho CA, které jsou si všechny rovny a mohou vydat certifikát pro libovolnou doménu.
Každopádně model, který připravujeme v IETF, počítá i s tím, že s CA-pinning, tedy, že do DNS/DNSSEC uložíte pouze informaci o tom, která CA může podepisovat vaši doménu.