Igy van, vannak cégek akiknek van PKI tapasztalatuk, viszont ahogy én ismerem ezek jórészt belsős PKI rendszereket építenek ahol nincs szükség olyan szintű audit megfelelésre mint amire egy CA kényszerül: nem kell common criteria alapján termék auditot csinálniuk, nem kell EIDAS és egyéb nemzeti jogszabályok alapján folyamat és működés auditokat csinálniuk, nem kell ezer külső szereplővel (lásd a fenti mozilla postot) kommunikálniuk. Egy CA működése nem csak a technikai részek miatt nehéz, hanem a működésbeli / folyamatbeli elvárások miatt.