Eu emiti um certificado SSL pelo DigiCert que sabemos ser reconhecido mundialmente e suas raízes confiáveis devem ser, por padrão, nas instalações do Windows.
No entanto, em uma máquina do meu cliente, não havia CA raiz intermediária, o que gerou vários problemas. Por isso, decidi incluir certificados DigiCert (retirados de seu site) no pacote de instalação que estamos enviando para nossos clientes.
Claro que eu queria testá-lo primeiro no meu servidor local 2008, mas não consigo remover raízes DigiCert da máquina! Eu continuo removendo-os como Usuário Atual e Computador Local tanto de CAs Raiz Confiáveis e CAs Intermediárias, mas assim que eu abro (não instalo, apenas abro!) O arquivo de certificado emitido (para ver seus detalhes), instantaneamente as CAs removidas aparecem no armazena novamente (como usuário atual).