信任階層

若要讓 數位證書 有效，憑證的用戶必須對其具有高度的信任。 在某些情況下，使用者不信任憑證的簽發者。 如果憑證用戶從未聽說過 證書頒發機構單位，因此對接受該簽發者的憑證感到不舒服，因此可能會發生這種情況。 此問題會在認證程式中由信任階層解決。

信任階層會從證書鏈結中所有實體信任的至少一個證書頒發機構單位開始。 這可以是內部證書頒發機構單位系統管理員或專門驗證身分識別和頒發證書的外部公司或組織。 此授權單位稱為 根授權單位。 跟證書授權單位接著會認證其他證書頒發機構單位，稱為第一層證書頒發機構單位，然後可以頒發證書，也可以認證其他或第二層證書頒發機構單位。 下圖顯示這種情況。

信任階層

頒發憑證的證書頒發機構單位身分識別是憑證的一部分。 該證書頒發機構單位稱為憑證的簽發者。 當憑證的簽發者是第 1 層或第 2 層證書頒發機構單位時，該憑證的接收者可以判斷該憑證的簽發者是否由高於其層級的證書頒發機構單位認證為有效的證書頒發機構單位，而且較高層級的證書頒發機構單位仍由較高層級證書頒發機構單位認證，直到確定信任鏈結存在於最低層級之間為止證書頒發機構單位和跟證書授權單位。

例如，在上圖中，可以驗證 CA #4 已由 CA 認證為證書頒發機構單位 #1，且 CA #1 已由根 CA 認證為證書頒發機構單位。 因此，當來自較低層級證書頒發機構單位的憑證連同加密訊息一起傳遞時，其信任鏈結中所有憑證的相關信息會隨著憑證一起傳遞。

剛才顯示的圖例和描述是概念性的。 在真實世界中，證書頒發機構單位的情況正在演進，且尚未建立或接受任何單一根授權單位。 短期內，當局島將發展，如下圖所示。

在信任階層中

在圖例中，根島、根 1 和根 2 可能成為單一根 CA 的第 1 層 CA。 此時，情況會再次具有單一根授權單位。 它仍然有待觀察，實際圖片將如何發展。