現在、商用の PKI とあなた自身の PKI のどちらを使うかの選択があります。 商用の PKI は最初からインターネット上でのセキュアな商取引、つまり基本的には、 セキュアな HTTP 通信を可能にするために作られました。 証明書の値段はホスト一つあたりベースで計算されています。 そのコストは証明書の所有者を特定するコスト(追跡可能性)の分、 ドメイン名についてはより高価になりますが、 あなたの e-コマースの利益の割合にもよります。 残念ながら、ホストベースのこのバージョンには大きな制限があります。 これは secure POP, IMAP, その他のプロトコルへの証明書を持つことを 受け入れるものの、あなたのネットワークの各メイルボックスごとに 証明書が必要になると、そのコストは天井知らずに上がり始め、 認証局へのこれらの証明書の全てを登録する管理負担も急増し、 これが毎年続いていきます。 クライアント/サーバ型アプリケーションのクライアント (Web サーバ、IPSec などなど)を認証する証明書を用いるときもやはり同じ問題が生じます。
どうして他の証明書に署名できる証明書をもってはいけないのでしょうか? この時点での唯一のオプションとして、この文書で紹介したように、 自分自身の認証局を立ててしまうことがあります。 これによって証明書の柔軟な運用が可能になりますが、 適用はあなたの組織の人々に制限されます。 と言うのも、あなたの組織に属さない人々は、 スムーズな操作を可能にするために、 あなたのルート CA 証明書をロードする必要があるからです。
DNSが運用されているのと同様のフォーマットで、 中央認証局によって一意の PKI 運営をするという解決法は、 グローバル PKI と呼ばれています。