Sertifikāta izveide un tikai HTTPS savienojuma izmantošana vien nav pietiekama, lai savienojums starp serveri un klienta tīmekļa pārlūkprogrammu papildus drošībai būtu arī uzticams.
Tā kā, veidojot sertifikātu, tā izveidotājs pilnīgi brīvi nosaka gan vietnes nosaukumu, gan personas/uzņēmuma datus, un nekas neliedz ievadīt pilnīgi patvaļīgus datus (arī ar ļaunprātīgiem nolūkiem), klienta pārlūkprogrammai kaut kā ir jāpārliecinās, ka sertifikātā ir autentiska informācija. Ja pārlūkprogramma nespēj noteikt sertifikāta autentiskumu, tā brīdina vietnes apmeklētāju par iespējamo bīstamību, un jaunākas pārlūkprogrammas pat atsakās atvērt šādu vietni.
CA (sertifikātu iestādes) nāk palīgā, kad jāapliecina sertifikāta autentiskums:
- pārbauda, vai sertifikātā iekļautā informācija ir pareiza
- parakstot sertifikātu, ar savu parakstu apliecina, ka sertifikātā esošā informācija ir pareiza un tai nav ļaunprātīgu nolūku
Katrā pārlūkprogrammā (pat dažādās vienas un tās pašas pārlūkprogrammas versijās) ir iepriekš instalēts noteikts iestāžu parakstu skaits. Atverot HTTPS vietni, pārlūkprogramma pārbauda savu parakstu bāzi, lai noskaidrotu, vai vietnes sertifikātu ir parakstījusi iestāde, ko tā pazīst. Ja paraksts ir atpazīstams, brīdinājuma ziņojums vairs netiek rādīts un lapa apmeklētājam šķiet uzticama.