Вы сами удостоверяете сертификаты. Но вы также доверяете людям. Поэтому вы можете доверить людям и право удостоверять сертификаты. Как правило, если только владелец сам не вручил вам копию ключа, вы должны положиться на чьё-то чужое мнение о его подлинности.

В большинстве случаев пользователи полностью полагаются на ЦС в проверке подлинности сертификатов. Иными словами, пользователи убеждены, что ЦС провёл всю механическую процедуру проверки за них, и уверены в его поручительствах за подлинность заверенных им сертификатов. Такая схема работает только до некоторого предела в количестве пользователей PKI, перейдя который ЦС не сможет придерживаться прежнего уровня тщательности процедуры проверки. В этом случае становится необходимым добавление в систему дополнительных"поручителей".

ЦС также может быть мета-поручителем. Мета-поручитель не только сам заверяет ключи, но предоставляет и другим лицам (организациям) полномочия заверения. По аналогии с тем, как король передаёт свою личную печать или факсимиле приближённым советникам, чтобы те могли действовать от его имени, так и мета-поручитель уполномочивает других действовать в качестве доверенных поручителей. Эти доверенные поручители могут удостоверять ключи с тем же результатом, что и мета-поручитель. Однако, они не могут создавать новых доверенных поручителей.

"Мета-поручитель" и "доверенный поручитель" — это термины PGP. В среде Х.509 мета-поручитель называется корневым центром сертификации(root CA), а доверенные поручители — подчинёнными, или промежуточными, центрами сертификации(subordinate CAs, intermediate CAs).

Корневой ЦС для подписания ключей использует закрытый ключ, связанный с особым типом сертификата, называемым корневым сертификатом ЦС. Любой сертификат, подписанный корневым ключом ЦС, становится достоверным любому другому сертификату, подписанному корневым. Такой процесс удостоверения действует даже для сертификатов, подписанных другим ЦС в [связанной] системе — если ключ промежуточного ЦС подписан ключом корневого ЦС, любой сертификат подписанный первым расценивается верным в пределах иерархии. Этот процесс отслеживания вдоль ветвей иерархии того, кто подписал какие сертификаты, называется отслеживанием пути, или цепи, сертификатов.

В относительно закрытых системах, таких как небольшие организации и фирмы, можно без труда отследить путь сертификата назад к корневому ЦС. Однако, пользователям зачастую приходится связываться с людьми за пределами их корпоративной среды, включая и таких, с которыми они прежде никогда не встречались, например, с поставщиками, потребителями, клиентами и др. Установление линии доверия с теми, кто не был явно удостоверен ЦС, становится непростой задачей.

Организации следуют одной из нескольких моделей отношений доверия, которые диктуют пользователям их действия по определению подлинности сертификатов. Существуют три различные модели:

Прямое доверие

Иерархическое доверие

Сеть доверия (Web of Trust)

Прямое доверие (или непосредственное доверие) — это простейшая из моделей отношений доверия. В этой схеме пользователь убеждён, что ключ подлинный, поскольку точно знает, от кого получил этот ключ. Все криптосистемы в той или иной мере используют эту форму доверия. Например, в веб-браузерах корневые ключи Центров сертификации доверяются напрямую, т. к. находились в дистрибутиве данного программного продукта. Если и существует какой-либо вид иерархии, то он распространяется из этих напрямую доверяемых сертификатов.

В PGP пользователь, заверяющий ключи самостоятельно, не прибегая к помощи доверенных поручителей, использует схему прямого доверия.

В иерархической системе существует ряд корневых сертификатов, от которых распространяется доверие. Эти сертификаты могут либо сами заверять сертификаты конечных пользователей, либо они могут уполномочивать другие сертификаты, которые будут заверять сертификаты пользователей по некоторой цепи. Представьте, что это большое "дерево" доверия. Подлинность сертификатов-"листьев" (сертификатов конечных пользователей) определяется отслеживанием цепочки к их удостоверителям, а от них уже к удостоверителям этих удостоверителей, и так до тех пор, пока не будет найден напрямую доверяемый корневой сертификат.