Tercero protegido que certifica que las demás entidades (usuarios, bases de datos, administradores, clientes, servidores) son realmente los que dicen ser. Cuando certifica un usuario, primero intenta verificar que el usuario no está en la lista de revocación de certificados (CRL) y, a continuación, verifica la identidad del usuario y otorga un certificado, firmándolo con la clave privada de la autoridad de certificación. La autoridad de certificación tiene su propio certificado y clave pública que publica. Los servidores y clientes los utilizan para verificar las firmas que ha creado la autoridad de certificación. Esta autoridad puede ser una empresa externa que ofrezca servicios de certificado o una organización interna como, por ejemplo, un departamento MIS.