Pavučina důvěry
Jednou z možností je to, že certifikát si vystaví sám držitel veřejného klíče: vezme svůj veřejný klíč, k němu připíše údaje o své identitě, vše vloží do obálky a podepíše svým soukromým klíčem, který je „do páru“ s právě vloženým veřejným klíčem. Takovýto certifikát je pak označován jako certifikát s vlastním podpisem, anglicky self-signed. Právě proto, že si ho jeho držitel vydal a podepsal sám.

Pokud vám takovýto certifikát s vlastním podpisem předá z ruky do ruky někdo, koho osobně znáte, není s tím problém. Víte, že tomuto certifikátu můžete důvěřovat. Jenže co když jej získáte od někoho jiného? Zde se dostáváme znovu ke stejnému problému jako se samotným klíčem. Ale teď už máme k dispozici i určité řešení.

Představte si třeba, že se vám za tento nový certifikát zaručí někdo jiný, koho už dobře znáte. Že vám řekne, že tento certifikát skutečně patří tomu, kdo je v něm uveden jako jeho držitel. A na znamení toho dotyčný certifikát sám podepíše, neboli opatří svým vlastním podpisem.

Pokud to takto udělá více lidí, kteří dotyčného znají a důvěřují jeho certifikátu, vzniká kolem tohoto certifikátu určitá „pavučina důvěry“. Ta může mít i více úrovní, když původní certifikát podepíšou – na znamení důvěry – i další lidé, kteří držitele certifikátu sice neznají, ale znají a důvěřují někomu, kdo ho zná a kdo certifikát již podepsal. Pavučina důvěry budovaná kolem původního certifikátu tak postupně houstne a bobtná.

Výsledek lze připodobnit k jakési soustavě reputací. Čím více lidí svým podpisem vyjádří certifikátu důvěru, tím lépe. Důvěra v konkrétní certifikát je pak odvozována od míry a kvality jeho reputace neboli od hodnocení ostatními uživateli. Takto to funguje například u podpisů na bázi PGP (Pretty Good Privacy).

Autor vyučuje na pražské Matematicko-fyzikální fakultě UK problematiku počítačových sítí a působí jako nezávislý konzultant a publicista