Titkosításhoz kulcsok (key) kellenek, melyhez tanusítvány tartozik (certificate). A kulcsokkal lehet titkosítani, a tanusítvány pedig a tulajdonos adatait tartalmazza. Mintha biléta lenne egy kulcstartón. Tanusítványt és egy ún. kibocsátó (Certificate Authority) ad ki. A kibocsátó saját, kibocsátói tanusítvánnyal azonosítja magát (CA certificate) és a tanusítványhoz is tartoznak kulcsok, mellyel a kibocsátó rendelkezik. A kibocsátottt tanusítványok tartalmazzák a kibocsátó adatait, a kibocsátói tanusítvány és kulcs egyedi azonosítóját. A tanusítványokat, illetve a kulcsait csak a kibocsátó privát kulcsával lehet újra létrehozni, amit a kibocsátó nem ad ki (titkosításról később). Kibocsátói tanusítványt, majd abból normál tanusítványt, illetve azok kulcsait bárki le tudja gyártani. Ettől azonban sem a tanusítvány, sem a kulcsok nem lesznek hitelesek. Így az azokkal titkosított adatok sem. A tanusítványokhoz a fentiek alapján kulcsok tartoznak. Ezekkel lehet az adatokat titkosítani. A kulcsok mindíg párban vannak: publikus kulcs, privát kulcs. Titkosítani (encrypt) csak a privát kulcsal (private key) lehet. Ezt a titkosítónak biztonságban kell tartani, nem szabad kiadni senkinek. A kulcsot jelszóval is el lehet látni. A titkosított adatot csak a privát kulcs publikus párja nyitja (decrypt), amit a titkosító a tanusítványal együtt csatol a titkosított adathoz. A visszafejtés alőtt a visszafejtő program (böngésző / levelező) megnézi a kibocsátót, és ha annak a tanusítványa szerepel a saját kibocsátói listáján, akkor bízik benne, és nem lesz figyelmeztetés, hibaüzenet. Ha nem akkor figyelmeztet (a kulcsot nem hiteles kibocsátó gyártotta). A tanusítvány azomban ennél többről szól. Ügyfél bizalma: A bizalom az ügyfél részéről azt jelenti, hogy - bízva a hivatalos, global-trust cégekben - biztos lehet belle, hogy a weboldalról / levelezőszervertől jövő titkosított adatot valóban a mellékelt kulcsal visszafejtő (decrypt) tanusítványon (nyilvános kulcs / public key) szereplő cég titkosított. melyet egy ilyen általánosan elfogadott cég adott el. Éppen ezért tanusítvány vásárlásakor leellenőrzik azt akinek kiállítják a tanusítványt. Bekérik azt amire úgy gondolják ehhez szükségül van, igazolványokat, cégek esetén céges papírokat is. A kulcsokhoz tehát a kibocsátó a nevét adja, sőt, pénzel felel is érte (ha mégis átengednek egy fiktív céget, akkor kártalanítanak). A felelősség mértéke a tanusítvány szintjétől függ (ezek különböző szinekklel / feliratokkal vannak jelezve a böngészőben a webcím mellett balra). A szint mértékétől fögg az ellenörzés is komolysága is, az elkért papírok mennyisége, az ára illetve a biztosítás mértéke is. Külföldön, főleg amerikában az átlag felhasználó bizony nézi, milyen tanusítvány van az oldalhoz. Ha hosszú zöldet lát felirattal (a legdrágább), akkor már teljesen bízik az oldalban, komolyan veszi. Én a StartSSL-nél szoktam ezt csinálni: minőségi és jó árú szolgáltató (izraeli amúgy). Ahhoz hogy ne figyelmeztessen a böngésző vagy a levelező, az alap Class 2 szintű tanusítvány elég. Ez $59.9 (https://www.startssl.com/?app=2). A startSSL-nél az a jó, hogy cégenként kell kifizetni, és nem domain-enként (eléggé egyedülállóan), így bármennyi - a céghez tartozó - domain-t lehet ezért az árért hitelesíteni.