O navegador terá as chaves públicas de várias autoridades raiz armazenadas em cache localmente. Se você usa o Windows, você ocasionalmente vê uma atualização com 'certificados raiz' no nome, é o que é. Para um certificado válido, a hierarquia pode ser rastreada até a chave pública de uma CA raiz válida, possivelmente por meio de vários revendedores.
É possível autografar um certificado e, na primeira vez que você acessa um site com esse certificado, você receberá um aviso, e ele perguntará se deseja continuar e se deseja adicionar a chave à lista de certificados. chaves confiáveis dentro do navegador, isso interrompe o aviso novamente - e você será informado se a chave muda.