Da jährlich viele Millionen Zertifikate ausgestellt werden und jeweils die Identität der Zertifikatsinhaber bzw. die Inhaberschaft der Domain überprüft werden muss, gibt es viele Zertifizierungsstellen (Certificate Authorities, CA). Damit die Browserhersteller bzw. die Stellen, die verifizierte Zertifikate veröffentlichen, nicht den Aufwand treiben können, die Vertraulichkeit der vielen CAs zu überprüfen, gibt es eine "Rangordnung" der Zertifizierungsstellen:

• Die Browserhersteller vertrauen einer kleinen Menge von Root-CAs.
• Die Root-CAs überprüfen die Vertraulichkeit weiterer CAs (intermediate CAs) und signieren deren Zertifikate.
• … es folgen weitere Stufen von intermediate CAs …
• Die intermediate-CAs signieren die Zertifikate der Endnutzer.

Überprüfen des Zertifikats

Der Webserver schickt dem Client beim SSL-Handshake üblicherweise nicht nur sein eigenes Zertifikat, sondern die ganze Chain of trust mit Ausnahme des Zertifikats der Root-CA, das im Browser bereits vorliegt. Der Browser verifiziert mit dem ihm vorliegenden public key der Root-CA das Zertifikat der ersten Intermediate CA, mit deren public key das Zertifikat der zweiten Intermediate CA usw. bis er beim Zertifikat des Webservers angelangt. Aus diesem entnimmt er dann den - soeben verifizierten - public key des Webservers und fährt damit mit dem SSL-Handshake fort.