Certifikaten är för det mesta definierade av i ISO-standarden X.509v3, men det finns också andra format.

Ett digitalt certifikat är ett intyg som styrker; endera:

• att en viss identitet som uppträder på Internet är förknippad med en email-adress och samtidigt en viss fysisk person som legitimerat sig med fotoförsedda ID-handlingar genom fysisk närvaro hos ombud för en certifikatutfärdare, eller att identiteten är förknippad med ett visst företag eller viss institution

• att en viss identitet som uppträder på Internet är förknippad med en viss email-adress, utan att vederbörandes fysiska identitet blivit kontrollerad. Detta är ett osäkrare fall, och kan också innebära att personen bakom email-adressen även har andra adresser.

Följande information återfinnes i alla digitala certfikat:
• certifikatinnehavarens namn och adress, e-post-adress och ev. ytterligare uppgifter

• certifikatutfärdarens namn och adress, e-post-adress, webbadress och andra relevanta uppgifter om hur man kan få kontakt med certifikatutfärdaren

• giltighetstid

• vilka ev. andra certifikatutfärdare som i sin tur kan intyga certifikatutfärdarens egen identitet.

Certifikatet utvisar en säker koppling mellan en viss internetanvändares internetadress och dennes fysiska identitet. Det kan också användas för att visa en säker koppling mellan en viss webbplats och ägaren till platsen (för s.k. säker webbplats som har nätadress med prefixet https:// för s.k. SSL-överföring i samband med e-handel och transaktioner mellan användare och penninginstitut, dvs överföring som i webläsare ofta visas med ett "låst hänglås" som symbol för den säkra överföringen).

Det är Nota Bene alltid upp till mottagaren själv att avgöra om han eller hon skall lita på certifikatets äkthet. Tänk på det när Du överväger att betala för ett certifikat; vad är det värt i andras ögon?

Mottagaren måste också fråga sig om han eller hon kan lita på certifikatutfärdarens egen offentliga nyckel. Även certifikatutfärdaren själv äger i sin tur ett certifikat som signerats av någon annan certifikatutfärdare, eller som signerats av honom själv (jfr PGP självsignering av nycklar).

På det här sättet bildas kedjor av flera olika certifikatutfärdare, t ex "Thawte Web of Trust" som var tänkt att bygga på att alla certifikatutfärdare litar på varandras certifikat.

De största certifikatutfärdarna var i början Verisign och Thawte. Sedan dess har fler tillkommit, och man har köpt upp varandra.

Vid användandet av e-signaturer (digitala signaturer) är det av stor vikt att en offentlig (allmän) krypteringsnyckel också kan förknippas med den fysiska (icke-digitala omvärlden). En nyckel måste kunna förknippas med en viss fysisk person, eller kunna kopplas till ett företag eller en organisation

Det behövs någon instans (certifikatutfärdaren) som kan intyga sambandet mellan en viss person (certifikatägaren) och dennes e-post-adress resp. webadress.

Det är viktigt att certifikatutfärdaren är betrodd av internetanvändarna, dvs att de kan lita på det som utfärdaren intygat. Den som vill ha ett digitalt certifikat (intyg) lämnar en digital kopia (datafil) av sin offentliga nyckel samt legitimerar sig med en pålitlig fotolegitimation inför certifikatutfärdarens representant. Utfärdaren intygar sedan sambandet mellan sökandens offentliga krypteringsnyckel och vederbörandes fysiska identitet.

Olika förkortningar

• B2B - Business to Business (relationen affärsföretag kommunicerar med affärsföretag)
• B2C - Business to Citizen (relationen affärsföretag kund)
• G2C - Government to Citizen (medborgarnas möjlighet att kommunicera säkert med statliga myndigheter)
• CPS (Certificate Policy Statement) - rutiner för hantering av krypteringsnycklarna och verifiering
• CA - Certificate Authority - utfärdare av digitalt certifikat
• PKI - Public Key Infrastructure - infrastruktur för kontroll och distribution av offentliga nycklar.

Inorm ramen för PKI sker följande:

• Certifiering, dvs utfärdandet av digitala certifikat
• Verifiering, kontroll av certifikat och certifikatägares identitet
• "Revocation" (återkallande av ogiltiga certfifikat).

Precis som med PGP gäller att "Revocation" återkallande måste ske tämligen snabbt, så att ingen mottagare luras att godta en ogiltig nyckel ( t ex om någon slutat sin tjänst vid ett företag eller någon institution).

Hur kan offentliga krypteringsnycklar utgöra grunden för något hemligt?
Det som krypteras med en nyckel kan bara dekrypteras med den andra. Hemlighåll ena nyckeln, Publicera fritt den andra.

Nyckelparet skapas tillsammans med hjälp av en slumptalsgenerator. Ett slumptal skapas. Med hjälp av särskilda räkneregler (algoritmer) räknas krypteringsnycklarna fram.
Härefter väljs en s.k. hemlig nyckel (privat nyckel) som användaren måste vara mycker rädd om och som under inga omständigheter få hamna i orätta händer samt en öppen nyckel (allmän nyckel, offentlig nyckel, publik nyckel) som kan distribueras fritt.

Elektroniskt undertecknande (e-signatur) innebär:

• att en kontrollsumma beräknas på den datafil som Du skall skicka
• att kontrollsumman krypteras med Din privata (hemliga) nyckel.
• att den krypterade kontrollsumman bifogas den avsända datafilen.

Om kontrollsumman överensstämmer med den som före avsändandet krypterades, kan mottagaren vara helt säker på att avändaren är den autentiske användaren. Dekryptering med den offentliga nyckeln kan ju bara ske om den krypterats med rätt privat nyckel!

Vid det allra första tillfället då en säker förbindelse upprättats med Din webläsare visas det digitala certifikatet för läsaren. I detta läge måste webläsaren ta ställning till om det digitala certifikatet är pålitligt eller ej, dvs om Du kan ha förtroende för den skyddade (säkra) webbplatsen Du har förbindelse med.

I webläsaren (Netscape, Internet Explorer etc) finns en lista över pålitliga certfikatutfärdare. Läsaren kontrollerar den digitala signaturen i det översända certifikatet genom att jämföra med en lista över pålitliga certifikat. Om webläsaren inte kan hitta certifikatet i sin lista, får användaren en varning och kan då välja att helt avbryta förbindelsen. En del webläsare kopplar upp Dig ändå, och låter Dig själv bestämma om Du skall lägga in certifikatet i listan över pålitliga sådana.

Digitala certifikat är inte särskilt användar-vänliga, och kommer därför sannolikt aldrig att få någon genomslagskraft.
En anledning är att man måste vara ansluten till aktuell website för verifiering när man signerae email.

En annan anledning är att man inte utan vidare kan byta mail-adress eller byta ISP. Kanske ens ISP inte fungerar just när man behöver skicka signerad mail?

En tredje anledning är att man kan få felmeddelande att man har ingen kontakt med mailservern, efter att man installerat ett nytt certifikat.

En fjärde anledning är att man (ännu) inte kan använda vilket mailprogram man vill. Och eftersom marknaden (av ovan angivna skäl) är liten och växer långsamt, så har utfärdarna inte mycket pengar att satsa på att anpassa sina tjänster till fler mailprogram.

I Internet-sammanhang kan det alltså hända att användarna låser sig ute. Inte så kul.