- Криптографически верная подпись, идентифицирующая создателя сертификата.
- Подтверждение связи между стороной, приславшей подписанное сообщение, и ее открытым ключом.
- Сертификат должен быть создан ЦС, которому приемная сторона доверяет.
Истинность полученного сертификата может быть проверена с помощью открытого ключа, принадлежащего создавшему этот сертификат ЦС. Однако здесь возникает еще одна проблема. А действительно ли открытый ключ принадлежит данному ЦС? Для получения ответа на этот вопрос необходимо применить еще один сертификат. В результате возникает цепочка сертификатов, начинающаяся с сертификата открытого ключа стороны, передавшей подписанное сообщение, и заканчивающаяся сертификатом ЦС, которому приемная сторона безоговорочно доверяет. Такой сертификат называется корневым сертификатом доверия (trusted root certificate), поскольку он формирует корень (верхний узел) иерархии открытых ключей к идентификаторов связи, которую приемная сторона рассматривает как достойную доверия. Если приемная сторона определила ЦС, которому она будет безоговорочно доверять, то полным доверием будут пользоваться и все дочерние (подчиненные) ЦС, идентифицированные корневым сертификатом доверия.
Описанная выше модель идентификации передающей стороны предполагает, что секретно приемная сторона должна получить информацию только о наборе корневых сертификатов доверия.