Um terceiro confiável que certifica que outras entidades – usuários, bancos de dados, administradores, clientes, servidores – são quem dizem ser. Ao certificar um usuário, a autoridade de certificação primeiro procura verificar se o usuário não está na CRL (Certificate Revocation List – Lista de Certificados Revogados), depois verifica a identidade do usuário e concede um certificado, assinando-o com a chave privada da autoridade de certificação. A autoridade de certificação tem seu próprio certificado e chave pública que ela publica. Os servidores e clientes utilizam esses dados para verificar as assinaturas feitas pela autoridade de certificação. Uma autoridade de certificação pode ser uma empresa externa que oferece serviços de certificação ou uma organização interna, como o departamento MIS (Management Information Service – Serviço de Informações de Gerenciamento) de uma empresa.