Mentre la crittografia a chiave pubblica garantisce confidenzialità delle comunicazioni, e la firma digitale assicura l'integrità e la paternità di un documento, in un mondo di relazioni virtuali, quale quello di Internet, non c'è a priori alcuna garanzia che il nostro interlocutore sia effettivamente chi afferma di essere.
La garanzia viene allora fornita da una terza parte fidata, che certifica la chiave pubblica del titolare della coppia di chiavi di crittografia.
Pertanto: Un certificato personale di chiave pubblica X.509 dichiara la corrispondenza fra una persona fisica e la propria chiave pubblica di crittografia.
E' un documento di identità nel mondo digitale, che può essere paragonato a ciò che nel mondo reale è rappresentato dalla carta di identità o dal passaporto.
Il legame viene garantito (firmato) da un ente emittente (Autorità di Certificazione).
Nel certificato compare l'identificativo del soggetto che viene certificato, la sua chiave pubblica di crittografia, alcune altre informazioni, quali la validità temporale del certificato stesso e la firma digitale dell'Autorità.
Quando l'entità soggetta alla certificazione (Soggetto certificato) e l'ente certificatore (l'Autorità di certificazione) coincidono, il certificato prende il nome di certificato root.
Esso contiene la chiave pubblica dell'autorità ed è firmato con la chiave privata di questa.
Questo tipo di certificato, che sta alla base dell'intero sistema, può essere verificato attraverso la propria impronta (fingerprint) che verrà pubblicata anche al di fuori del sistema telematico.