前述のとおり、SSL ソフトウェアでは証明書を既知の CA のリストと比較します。ここでは、このプロセスについて、より正確に説明します。
CA 自体に証明書があります。ルート CA の場合、これは自己署名証明書です。SSL ソフトウェアには、証明書を格納する (証明書のインストール) ことができ、通常は主要な CA の証明書があらかじめインストールされています。信頼する必要がある CA がほかにもある場合は、追加でインストールできます。また、Internet Explorer に追加の CA 証明書をインストールする自動更新が提供される場合もあります。
SSL ソフトウェアでは、ハンドシェイクの一環としてエンティティの証明書を受信すると、証明書で指定されている CA の階層をインストール済みの CA 証明書と比較します。階層内のいずれかがインストール済みのリスト内のいずれかと一致する場合、そのエンティティは既知の信頼済み CA によって認証されたと見なされます。
また、SSL ソフトウェアでは、エンティティの証明書に含まれる CA のデジタル署名が本物であることを確認する必要があります。デジタル署名を確認するために、SSL ソフトウェアでは、所有者のパブリック キーを使用して署名を復号化し、その結果として得られた復号化されたハッシュ、および SSL ソフトウェア自体がメッセージ (この場合はエンティティの証明書) から生成したハッシュを比較します。CA のパブリック キーは CA の証明書から取得されます。