Red de confianza

La persona que firma debe establecer esta correspondencia sobre la base de un conocimiento externo, como por ejemplo haberse encontrado físicamente con la persona de la que certifica la clave en el mundo real.Por ejemplo, si tres avalistas parcialmente confiados por el usuario han garantizado un certificado (y por tanto la correspondencia que incluye entre clave pública y dueño), o si un avalista plenamente de confianza ha hecho lo mismo, entonces la correspondencia se tomará como cierta.Por contraste, el esquema PKI formalizado en X.509 solo permite que cada certificado esté firmado por una única entidad: una autoridad de certificación (CA, en sus siglas en inglés).Los certificados raíz deben estar disponibles para aquellos que usen una CA de menor nivel y por tanto son ampliamente distribuidos.Por ejemplo, vienen incorporados en aplicaciones como navegadores, clientes de correo electrónico, y en sistemas operativos como Mac OS X.