"amíg egy cert-et csak egy CA tud aláírni, addig az egész infrastruktúra egy vicc."
Létezik cross-signed cert, a LetsEncrypt is így ad ki certet, hogy elfogadott legyen, az ő CA certjük keresztaláírt:
https://letsencrypt.org/certificates/
Az IdenTrust keresztaláírta a CA certjüket, így az elfogadott minden elterjedt helyen. Amíg ez nem volt, addig fel kellett venni kézzel a LetsEncrypt CA certet az elfogadott root certek közé.