受信任的 CA 证书由称为Certificate Authority 的第三方验证。在密码学意义上，CA 是公钥基础设施 (PKI)中的可信第三方 (TTP)验证机构：

CA 的主要作用是对绑定到给定用户的公钥进行数字签名和发布。这是使用 CA 自己的私钥完成的，因此对用户密钥的信任依赖于对 CA 密钥有效性的信任。当 CA 是独立于用户和系统的第三方时，它被称为注册机构 (RA)，它可能与 CA 分离，也可能不分离。根据绑定所具有的保证级别，通过软件或在人工监督下建立关键用户绑定。

简而言之，它们提供了一种更容易建立客户端对它们所连接的服务器的信任，并且用于验证此类 CA 颁发的证书的根证书（CA 公钥）预安装在许多 Web 客户端（浏览器，电子邮件客户端，...）默认情况下，这意味着它们可以以透明的方式使用，无需额外的用户交互。

最终用户对连接到正确服务器的信任级别通常归结为所谓的证书验证类型：

• 域验证证书：这些是最常见的，主要是因为它们通常是最便宜的 CA 颁发的证书。这些通常通过通过电子邮件向颁发证书的 CA 发送身份验证令牌来验证，并且仅验证其名称所暗示的内容 - 用户确实连接到为其颁发证书的域。
• 组织验证的证书：这些证书包含有关它们注册到的组织的附加信息，在某些情况下，这有助于建立所需的信任。大多数 Web 客户端对此类经过验证的证书的信任度不会比经过域验证的证书的信任度高得多，并且也不会在视觉上区分它们。
• 扩展验证证书：顾名思义，这些证书类型的所有者经过最严格的验证。它们并不便宜，并且应该为最终用户提供最高级别的信任，证书所有者确实是他们应该连接的那个人。此处更详细地描述了颁发此类证书的标准。另一个优势是，在大多数 Web 客户端中，它们还通过绿色地址栏、绿色锁或类似物清楚地标记。

现在，您所描述的受信任远程证书也称为（或者可能更好地称为）自签名证书，最终用户手动将其安装到 Web 客户端中的受信任证书列表中，他们用于与发布它们的服务器进行通信. 也就是说，只要他们信任此类证书的颁发者，因为他们不提供任何第三方对其所有者的任何形式的验证。它们仍然很有用，因为它们可用于加密客户端和服务器之间的通信（最常用于传输层加密），但信任级别由最终用户决定。此类证书当然是免费的（即可以由开源工具签名，例如OpenSSL）。