In zertifikatsbasierten Systemen erhält jeder User ein von einer Zertifizierungsstelle beglaubigtes Zertifikat, welches sowohl die Identität der Person beschreibt und außerdem die öffentlichen Schlüssel enthält. Ein solches Zertifikat verbindet Daten des Users und der ausgebenden Stelle mit einem kryptographischen Schlüssel, weitere Daten wie Gültigkeitsdauer, Version und Verwendungszweck werden ebenfalls gespeichert.

Bei Transaktionen über das Internet versendet der Server zuerst einen öffentlichen Schlüssel an den Client (z.B. Webbrowser des Internetnutzers), welcher sofort prüft, ob der Server vertrauenswürdig ist. Ist dieser unbekannt, so kann der User selbst entscheiden, ob er die Verbindung zulassen möchte. Erst wenn dies bejaht bzw. eine vertrauensvolle Verbindung erkannt wird, startet der Datentransfer. Entschlüsselt wird das Dokument dann wieder vom ausgebenden Server, andere Entschlüsselungsmöglichkeiten existieren nicht. Die Technik ist mit dem SSL-Protokoll vergleichbar, das bei verschlüsselten Internetseiten zur Anwendung kommt.

Wurde eine Verbindung einmal als vertrauensvoll eingestuft, so kann der Datentransfer zwischen beiden Partnern nicht mehr von Dritten eingesehen werden. Außerdem wird der Client Besuche und Zertifikate des Servers in Zukunft immer annehmen. Problematisch ist dies, falls aus Versehen einem Betrüger der Zugriff erlaubt wird.