Как было описано в параграфе "Инфраструктуры открытых ключей (PKIs)", некоторые компании уполномочивают один или несколько Центров сертификации (ЦС) на проверку подлинности сертификатов. В организации, использующей PKI с сертификатами Х.509, задача Центров регистрации состоит в приёме запросов на сертификаты, а задача Центров сертификации — в выдаче сертификатов конечным пользователям: процесс ответа на запрос пользователя на получение сертификата. В организации, использующей сертификаты PGP без PKI, задача ЦС — в проверке достоверности всех PGP-сертификатов и подписании подлинных. Как правило, основная цель ЦС — собственной подписью "связать" открытый ключ с идентификационной информацией, содержащейся в сертификате, чем заверить третьих лиц, что были приняты определённые меры по установлению связи между ключом и идентификационными сведениями.
Центр сертификации в организации — это краеугольный камень системы подлинности и доверия; в некоторых организациях, как, например, в тех, которые используют PKI, ни один сертификат не считается подлинным, пока не будет подписан доверенным ЦС.
Один из способов определения подлинности сертификата — некоторая механическая процедура. Существует несколько методик её проведения. Например, вы можете попросить своего корреспондента передать копию его открытого ключа "физически", то есть вручить на жёстком носителе — магнитном или оптическом диске и т. п. Но зачастую это бывает неудобно и неэффективно.
Другой вариант — сверить отпечаток (fingerprints) сертификата. Насколько уникальны отпечатки пальцев людей, настолько же уникальны и отпечатки каждого сертификата PGP. Отпечаток — это хэш-значение сертификата пользователя, которое показано как одно из его свойств. В PGP отпечаток может быть представлен или как шестнадцатеричное число, или как набор так называемых биометрических слов, фонетически чётких и применяемых для упрощения вербальной идентификации отпечатка.
Вы можете определить подлинность сертификата позвонив владельцу ключа (таким образом, что вы начнёте коммуникацию) и попросив его прочитать отпечаток с его ключа; вам же нужно сверить этот отпечаток против того, который находится на полученной вами копии. Такой способ допустим, если вам знаком голос корреспондента, но как вы установите личность того, с кем даже незнакомы? Некоторые с этой целью помещают отпечатки ключей на свои визитные карточки.
Ещё один метод определения подлинности чужого сертификата — положиться на мнение третьей стороны, уже установившей его подлинность.