Alternatywą jest wykorzystanie topologii siatkowej (zob. rys. 3), która łączy bezpośrednio między sobą wszystkich lub większość wydawców certyfikatów. W takim podejściu ścieżka certyfikatu może zaczynać się w dowolnym miejscu siatki. W związku z tym ścieżki certyfikatów są bardziej zróżnicowane niż w modelu hierarchicznym, ale za to prostsze dla użytkowników certyfikatów. Korzyścią wynikającą z krótszych ścieżek jest szybszy czas uwierzytelniania i mniejsze problemy z zarządzaniem ruchem. Z punktu widzenia wydajności dłuższa ścieżka zabiera więcej czasu na jej "przejście".

Niektóre implementacje zawierają swego rodzaju pamięć podręczną certyfikatów w aplikacjach korzystających z PKI (jest to magazyn wszystkich wcześniej używanych ścieżek certyfikatów) przyspieszającą przyszłe próby tworzenia ścieżek certyfikatów.

Rynek PKI oferuje oprogramowanie i wyposażenie, a także usługi outsourcingu. Dostawcy oprogramowania i sprzętu oferują narzędzia, takie jak ośrodki wydawania certyfikatów, karty inteligentne i algorytmy szyfrowania. Główni dostawcy w tej dziedzinie to Baltimore Technologies, Entrust, RSA Security, VeriSign, a w Polsce m.in. Comp SA.

Niech się martwi usługodawca...

Usługodawcy zewnętrzni mogą integrować PKI praktycznie ze wszystkimi elementami istniejącego systemu - to jest z aplikacjami przedsiębiorstwa, ruterami, zestawem bram VPN czy infrastrukturą bezprzewodową. Usługodawca zarządza także wydawcami certyfikatów i zapewnia funkcje zarządzania , takie jak uzyskanie certyfikatu (enrollment - w terminologii PKI) i utrzymywanie na bieżąco list certyfikatów unieważnionych (CRL). Outsourcing zdejmuje także z firmy odpowiedzialność za zabezpieczenie wydawcy certyfikatów, pozostawiając ten problem na głowie usługodawcy.

Wiele firm wybiera ten sposób jako bardziej dogodny i mniej kłopotliwy od rozwijania PKI we własnym zakresie. Wśród specjalistów przeważa opinia, że procesy uzyskiwania certyfikatów i prowadzenia list certyfikatów odwołanych są trudne do realizacji z uwagi na skomplikowane protokoły rządzące tymi operacjami. Inną zaletą korzystania z usług zewnętrznych jest to, że ustanawiają one i zarządzają publicznymi wydawcami certyfikatów, co jest niezwykle istotne dla aplikacji e-commerce. Publiczni wydawcy certyfikatów udostępniają klientom gotowe środki do wzajemnego uwierzytelniania bez potrzeby ujawniania wewnętrznej sieci przedsiębiorstwa.

Ostatnim czynnikiem przemawiającym za outsourcingiem jest to, że standaryzacja PKI jest jeszcze ciągle "ruchomym celem". Zdając się na outsourcing można uwolnić się od ciągłego śledzenia i reagowania na zmieniające się protokoły i specyfikacje PKI.

Przykładem są tu dwie konkurencyjne propozycje dla spraw związanych z cyklem życia certyfikatu - uzyskania, odwołania i wygaśnięcia. Entrust i Baltimore Technologies przygotowują specyfikację o nazwie Certificate Management Protocol, natomiast VeriSign, Cisco i Microsoft wspierają specyfikację konkurencyjną o nazwie Certificate Management Protocol Using Cryptografic Message Syntax. Te dwa protokoły różnią się rozszerzeniami i obsługiwanymi standardami kryptograficznymi.

Największą wadą zakupu usług zewnętrznych PKI jest konieczność "delegowania" pewnego obszaru zaufania. Niektóre firmy nie chcą zlecać na zewnątrz żadnych funkcji ochronnych, ponieważ - z różnych względów - nie jest dla nich wygodne "delegowanie ochrony" do usługodawców zewnętrznych.

Zrób to sam

Powyższe nie oznacza, że wybór usługodawcy zewnętrznego jest wyborem najlepszym. Argumenty przemawiające za rozwijaniem PKI we własnym zakresie to przede wszystkim możliwość zaprojektowania i kontrolowania wszystkich aspektów projektu, kluczowych dla procesów zarządzania.

Projekt, obejmujący jednego wydawcę certyfikatów, mały krąg użytkowników i prostą politykę ochrony, może nie uzasadniać korzystania z usługodawcy zewnętrznego. Dla bardziej złożonych sytuacji decyzje: zrobić we własnym zakresie czy kupić usługę, mogą być kwestią oszacowania, czyj czas jest bardziej cenny: zespołu wewnętrznego czy usługodawcy.

Chociaż budowa własnego PKI ma swoje zalety, to jednak należy pamiętać, że "krzywa nabywania wiedzy" jest w tym wypadku bardzo stroma. Użytkownicy decydujący się na budowę własnego PKI muszą dokładnie przestudiować specyfikacje protokołów i liczyć się ze skomplikowanymi zagadnieniami projektowymi.