Des solutions CSS pour aider à résoudre les risques de livraison des clés et des certificats les contournements dans l`émission et la délivrance de certificats aux appareils mobiles peuvent exposer des clés privées et affaiblir la conception de sécurité prévue. En outre, différentes plateformes de périphériques, modèles et versions gèrent chaque certificat et stockage de clés de différentes manières et requièrent des approches personnalisées pour charger des certificats. Les méthodes de délivrance de certificats et de clés qui tentent de livrer avec une approche «unique» finissent souvent par générer à distance la clé privée de l`utilisateur et la copier sur l`appareil via un fil/air public qui le rend vulnérable à la violation. Certains processus entraînent également l`envoi de certificats entièrement exportables vers l`appareil. Cela peut entraîner une possibilité accrue d`exposition aux clés privées, le potentiel de copie des certificats et des clés et l`incapacité de maintenir la non-répudiation légale pour ces utilisateurs sur leurs appareils mobiles. Les navigateurs Web actuels portent des certificats intermédiaires préinstallés délivrés et signés par une autorité de certification. Cela signifie que les navigateurs doivent transporter un grand nombre de fournisseurs de certificats différents, augmentant ainsi le risque d`un compromis clé. Les autorités de certification ne doivent pas émettre de certificats numériques directement à partir de la racine distribuée aux transporteurs, mais plutôt via un ou plusieurs de leurs ICAs. En effet, une autorité de certification doit suivre les meilleures pratiques de sécurité en minimisant l`exposition potentielle d`une autorité de certification racine aux attaquants. GlobalSign est l`un des rares CAs à avoir toujours (depuis 1996) utilisé ICAs. Les protocoles doivent être définis pour permettre la création, la révocation et le rafraîchissement des certificats. Les protocoles de gestion des certificats illustrent les protocoles de gestion des certificats qui peuvent être normalisés; chaque flèche du diagramme représente un protocole. Avant de délivrer un certificat numérique, l`AC effectuera un certain nombre de vérifications sur l`identité du déposant.
Les vérifications se rapportent à la classe et au type de certificat demandé. Par exemple, un certificat SSL validé par un domaine aura vérifié la propriété du domaine à inclure dans le certificat, tandis qu`un SSL Extended Validation inclura des informations supplémentaires sur l`entreprise, vérifiées par l`autorité de certification par le biais de nombreuses sociétés Contrôles. Les navigateurs et les appareils font confiance à une autorité de certification en acceptant le certificat racine dans son magasin racine – essentiellement une base de données des autorités de certification approuvées qui sont pré-installées avec le navigateur ou l`appareil. Windows exploite un magasin racine, tout comme Apple, Mozilla (pour son navigateur Firefox) et généralement chaque opérateur mobile exploite également son propre magasin racine. Il n`est pas prévu que l`un des composants de services clés à long terme nécessitera des protocoles de négociation. Les interfaces de gestion de certificat devront fournir un mécanisme par lequel les appelants peuvent identifier quelle autorité de certification devrait émettre des certificats et des CRL demandés par l`intermédiaire de son interface, au cas où plus d`une autorité de certification est disponible. Les autorités de certification créent généralement un certain nombre de certificats racine d`autorité de certification intermédiaire (ICA) à utiliser pour émettre des certificats d`entité finale, tels que des certificats SSL. C`est ce qu`on appelle une hiérarchie de confiance et ressembles à ceci: les autorités de certification utilisent ces certificats racine préinstallés pour émettre des certificats racine intermédiaires et des certificats numériques d`entité finale.
L`autorité de certification reçoit des demandes de certificat, valide les applications, émet les certificats et publie l`état de validité en cours des certificats émis afin que toute personne qui s`appuie sur le certificat ait une bonne idée que le certificat est toujours valide.