Urząd certyfikacji (CA) to zaufana strona trzecia, która wydaje certyfikaty cyfrowe, głównie firmom internetowym. Urząd certyfikacji gwarantuje identyfikację firmy jako gwarancję dla każdego, kto wymienia dane osobowe, takie jak imię i nazwisko, adres, karta kredytowa, dokumenty bankowe lub dokumentacja medyczna. Wszystkie takie informacje są wymieniane w postaci zaszyfrowanej między dwiema stronami, a certyfikat cyfrowy działa jako pozytywny identyfikator zaufania publicznego.
Ponieważ każdemu złodziejowi z niewielkimi umiejętnościami łatwo jest stworzyć stronę internetową i podszywać się pod legalną firmę w celu kradzieży danych osobowych odwiedzających, certyfikaty cyfrowe stały się koniecznością. Urząd certyfikacji wymaga informacji od firmy aplikującej, takich jak imię i nazwisko, adres, telefon, dane fizyczne, takie jak zapisy przesłane faksem, oraz publiczny klucz szyfrowania firmy, używany do szyfrowania wszystkich poufnych danych gromadzonych od klientów. Mogą być również wymagane inne dokumenty i osobiste wywiady.
Gdy firma internetowa spełni wymagania, urząd certyfikacji wydaje certyfikat cyfrowy, który wiąże identyfikator i publiczny klucz szyfrowania z bezpiecznym serwerem witryny. Gdy klient łączy się z bezpiecznym serwerem, certyfikat cyfrowy wystawiony przez urząd certyfikacji zostanie przekazany do przeglądarki klienta. Przeglądarka sprawdza go, aby upewnić się, że jest w porządku przed zaakceptowaniem zaszyfrowanej sesji.
Zaufanie pokładane w certyfikatach cyfrowych jest tak dobre, jak urząd certyfikacji, który je wystawia. Z tego powodu, jeśli urząd certyfikacji nie zostanie rozpoznany, przeglądarka wyświetli ostrzeżenie z informacją o tym. Nowsze urzędy certyfikacji, które nie zostały jeszcze rozpoznane, mogą mieć własny certyfikat cyfrowy podpisany przez lepiej znany urząd certyfikacji. Możesz się zastanawiać, dlaczego ktoś miałby otrzymać certyfikat cyfrowy od nieznanego urzędu certyfikacji. Odpowiedzią dla mniejszych firm jest prawdopodobnie przystępność cenowa.
Chociaż certyfikaty cyfrowe są najczęściej wydawane firmom lub organizacjom, osoby fizyczne mogą również uzyskać certyfikat cyfrowy z urzędu certyfikacji. Niektóre firmy wymagają tego od pracowników, którzy chcą skorzystać z udogodnień, takich jak usługi związkowe online. Certyfikat cyfrowy weryfikuje tożsamość pracownika żądającego usług osobistych. Opłaty za certyfikaty cyfrowe różnią się w zależności od urzędów certyfikacji, ale generalnie certyfikaty cyfrowe wydawane osobom fizycznym są tańsze niż te wydawane firmom. Zazwyczaj opłaty obejmują okres od roku do trzech lat, a następnie muszą zostać odnowione, aby certyfikat był aktualny.