Hierarchie der Vertrauensstellung
Damit digitale Zertifikate effektiv sind, müssen Benutzer von Zertifikaten über ein hohes Maß an Vertrauen verfügen. Es gibt Fälle, in denen ein Benutzer dem Aussteller eines Zertifikats nicht vertraut. Dies kann passieren, wenn der Zertifikatbenutzer noch nie von der Zertifizierungsstelle gehört hat und daher kein Zertifikat von diesem Aussteller zum Nennwert akzeptiert. Dieses Problem wird im Zertifizierungsprozess durch eine Vertrauenshierarchie behoben.
Eine Vertrauenshierarchie beginnt mit mindestens einer Zertifizierungsstelle, die von allen Entitäten in der Zertifikatkette als vertrauenswürdig eingestuft wird. Dies kann ein interner Zertifizierungsstellenadministrator oder ein externes Unternehmen oder eine externe Organisation sein, das bzw. die auf die Überprüfung von Identitäten und das Ausstellen von Zertifikaten spezialisiert ist. Diese Autorität wird als Stammzertifizierungsstellebezeichnet. Die Stammzertifizierungsstelle zertifiziert dann andere Zertifizierungsstellen, die als Zertifizierungsstellen der ersten Ebene bezeichnet werden, die dann Zertifikate ausstellen und auch zusätzliche oder zweite Zertifizierungsstellen zertifizieren können. Diese Situation wird in der folgenden Abbildung dargestellt.

Die Identität der Zertifizierungsstelle, die ein Zertifikat ausstellt, ist Teil eines Zertifikats. Diese Zertifizierungsstelle wird als Aussteller des Zertifikats bezeichnet. Wenn der Zertifikataussteller eine Zertifizierungsstelle der Ebene 1 oder Ebene 2 ist, kann der Empfänger dieses Zertifikats bestimmen, ob der Zertifikataussteller von einer Zertifizierungsstelle auf einer höheren Ebene als gültige Zertifizierungsstelle zertifiziert ist und ob die Zertifizierungsstelle auf höherer Ebene von einer Zertifizierungsstelle auf höherer Ebene als gültige Zertifizierungsstelle zertifiziert wird, bis festgestellt wird, dass eine Vertrauenskette zwischen der untersten Ebene vorhanden ist. Zertifizierungsstelle und Stammzertifizierungsstelle.
In der obigen Abbildung kann beispielsweise überprüft werden, ob CA # 4 von CA 1 als Zertifizierungsstelle zertifiziert # wurde und dass ZS # 1 von der Stammzertifizierungsstelle als Zertifizierungsstelle zertifiziert wurde. Wenn also ein Zertifikat von einer Zertifizierungsstelle auf niedrigerer Ebene zusammen mit der verschlüsselten Nachricht übergeben wird, werden informationen zu allen Zertifikaten in der Vertrauenskette bis zum Stamm zusammen übergeben.
Die soeben dargestellte Abbildung und Beschreibung ist konzeptionell. In der Praxis entwickelt sich die Situation der Zertifizierungsstelle weiter, und es wurde keine einzige Stammzertifizierungsstelle eingerichtet oder akzeptiert. Kurzfristig entwickeln sich Autoritätsinseln wie in der folgenden Abbildung dargestellt.

Mit der Zeit könnten die Stamminseln Root 1 und Root 2 in der Abbildung zu Tier 1-Zertifizierungsstellen für eine einzelne Stammzertifizierungsstelle werden. An diesem Punkt hätte die Situation wieder eine einzige Stammzertifizierungsstelle. Es bleibt abzuwarten, wie sich das tatsächliche Bild entwickelt.