Parte terza sicura che certifica l'identità di altre entità (utenti, database, amministratori, client e server). Quando certifica un utente, l'autorità di certificazione prima controlla che questi non sia incluso nel CRL (Elenco di revoca dei certificati, Certificate Revocation List), quindi verifica l'identità dell'utente e concede un certificato, firmandolo con la propria chiave privata. L'autorità di certificazione dispone di un proprio certificato e di una chiave pubblica che viene resa nota. I server e i client utilizzano questi elementi per verificare le firme apposte dall'autorità di certificazione. Quest'ultima può essere una società esterna che offre servizi di questo tipo o un'organizzazione interna quale un reparto MIS aziendale.