Tierce partie sécurisée certifiant que d'autres entités - utilisateurs, bases de données, administrateurs, clients, serveurs - sont bien ce qu'elles prétendent être. Lorsqu'elle certifie un utilisateur, l'autorité de certification commence par vérifier qu'il ne figure pas dans la liste des certificats révoqués ; elle vérifie ensuite son identité et lui accorde un certificat, qu'elle signe avec sa clé privée. L'autorité de certification dispose de son propre certificat et de sa propre clé publique qu'elle publie. Les serveurs et les clients les utilisent pour vérifier les signatures apposées par l'autorité de certification. L'autorité de certification peut être une société externe offrant des services de certificat, ou une organisation interne comme le service informatique de la société.