Trên thế giới không thể chỉ có một trung tâm chứng thực CA duy nhất mà có thể có nhiều trung tâm chứng thực. Những người sử dụng khác nhau có thể đăng ký chứng thực tại các CA khác nhaụ Do đó để có thể trao đổi dữ liệu, một người cần phải tin tưởng vào khóa công khai củatấtcả các trung tâm chứng thực. Để giảm bớt gánh nặng này, X.509 đề ra cơ chế phân cấp chứng thực.
Ví dụ, Alice chỉ tin tưởng vào trung tâm chứng thựcX1, còn chứng thực của Bob là do trung tâm chứng thựcX2 cung cấp. Nếu Alice không có khóa công khai củaX2, thì làm sao Alice có thể kiểm tra được chứng thực của Bob? Biện pháp giải quyết là Alice có thể đọc Authority key identifier (tức ID củaX2) trong chứng thực của Bob. Sau đó Alice kiểm tra xem X1 có cấp chứng thực nào cho X2 hay không. Nếu có, Alice có thể tìm thấy được khóa công khai củaX2 và tin tưởng vào khóa này (do đã đượcX1 xác nhận). Từ đó Alice có thể kiểm tra tính xác thực của chứng chỉ của Bob.
X1
X2 Alice
Bob
có thể thông qua một dãy các trung tâm chứng thực tạo thành một mạng lưới chứng thực (Web of Trust). Hình dưới minh họa một ví dụ thực tế.
108
Hình7-4.Minhhọamôhìnhphâncấpchứngthực
Trong ví dụ trên chứng thực MSN-Passport của Microsoft được chứng thực bởi “Verisign Class 3 Extended Validation SSL CA”, Firefox không có sẵn khóa công khai của trung tâm nàỵ Tuy nhiên Firefox có khóa công khai của “Verisign Class 3 Public Primary CA”, từ đó FireFox có thể chứng thực trung tâm “Verisign Class 3 Public Primary CA – G5” và qua đó có thể chứng thực được “Verisign Class 3 Extended Validation SSL CA”.