L'autorità di certificazione è formalmente, diciamo tecnicamente, un'autorità in cui un insieme di utenti ripone la propria fiducia per creare e assegnare certificati a chiave pubblica. Nello standard X.509 non viene specificata nessuna relazione fra l'autorità di certificazione, l'emettitore e il soggetto specificato nel certificato. Esistono però delle norme di legge che dicono che se una firma digitale deve avere valore legale nei confronti di chiunque, questa deve essere emessa non da una generica autorità di certificazione, ad esempio interna ad un'azienda, ma ad un'autorità di certificazione che risponde a certi requisiti legali. È ovviamente possibile creare sia delle autorità di certificazione indipendenti, che permetteranno una comunicazione sicura solo fra tutti gli utenti che si fidano di quella particolare autorità di certificazione, oppure creare delle reti di autorità di certificazione, ossia delle autorità di certificazione che si riconoscono reciprocamente. Il modo più semplice di organizzare queste reti è in strutture gerarchiche: ossia permettere a un'entità suprema, una CA di primo livello, di certificare quindi di asserire la sua fiducia in autorità di certificazione di secondo livello e così a scendere fino alle autorità di certificazione di più basso livello, che emetteranno certificati per i nostri utenti.