Trvale to zabezpečit nejde, protože i certifikáty certifikačních autorit se jednou za několik let mění. Už s tím bylo dost problémů, že někdy byly certifikáty CA napevno a CA pak začala používat jiný certifikát.
Let's Encrypt nyní používá kořenový certifikát ISRG Root X1 s platností do roku 2035, ale pravděpodobně přestane být používán mnohem dříve.
V Linuxových distribucích je seznam důvěryhodných certifikátů součástí některého distribučního balíčku, takže se pravidelně aktualizuje tak, jak aktualizujete balíčky. Ovšem pozor na to, že aplikace nemusí používat systémové důvěryhodné certifikáty, může mít vlastní úložiště.