هيئة الشهادات [1] (بالإنجليزية: Certificate Authority) هو الكيان الذي يصدر الشهادات الرقمية ليتم استخدامها من قبل الأطراف الأخرى. وهي إحدى الأمثلة على الطرف الثالث الموثوق به.
تتميز مصادرالشهادات بتعدد البنية الأساسية للمفتاح العام(PKI). هنالك العديد من مصادر الشهادات التجارية والتي تقدم خدماتها مقابل دفع مبلغ من المال بينما يوجد بعض الحكومات والمعاهد تمتلك مصادر شهادات وتقدم خدماتها مجانا.
يصدر مصدرالشهادة شهادات رقمية تحتوي على المفتاح العام وهوية المالك. وتشهد هذه الشهادة على أن المفتاح العام المتضمن داخلها ينتمي للمالك أو المؤسسة أو الحاسب المركزي أو أي كيان منصوص عليه في الشهادة.
التزام مصدرالشهادة يكمن في تدقيق اعتماد طلب معين، وعليه فإن المستخدم والجهات المعتمدة يستطيعون الثقة بالمعلومات الموجودة في الشهادة.
في حال أن المستخدم يثق بمصدر الشهادة وبإمكانه التأكد من التوقيع الموجود عليها، فإنه يستطيع التأكد أيضا من أن المفتاح العام ينتمي حقا للمالك المذكور في الشهادة. إذا كان بالإمكان زعزعة الثقة بمصدر الشهادة، فإن سرية وأمان النظام بأكمله تكون قد فقدت.
على فرض أن مهاجم يدعى مالوري (لاستخدام مثال أليس وبوب)، يخطط للحصول على مصدر شهادة ليصدر شهادة مزيفة تربط أليس بمفتاح عام خاطئ، المفتاح العام المرتبط معروف لدى مالوري. فيما بعد إذا حصل بوب على هذا المفتاح العام الخاطئ واستخدمه فإن سرية اتصالاته مع أليس تفضح من قبل مالوري، حيث أن مالوري يستطيع فك تشفير رسائل بوب أو أنه يخدع بوب عن طريق أن يجعله يقوم باستقبال تواقيع مزورة من أليس.
المشكلة تكمن في التأكد من صحة الصلة بين البيانات وكيان ما عندما تقدم البيانات لمصدر الشهادة(ربما من خلال شبكة إليكترونية)، وتكمن أيضا عندما يتطلب اعتماد شخص أو شركة أو برنامج وجود شهادة. هذا هو سبب أن المصادر التجارية للشهادة عادة ما تستخدم خليط من تقنيات صحة الهوية. في بعض أنظمة المشاريع، تنال صيغ محلية مثل Kerberos على شهادة يمكن أن تستخدم من قبل أطراف خارجية معتمدة.
كاتب العدل مطلوب في بعض الحالات ليتعرف شخصيا على الطرف المراد التصديق على توقيعه، هذا معيار أعلى من أن يبلغه الكثير من مصادرالشهادات. استنادا إلى خط نقابة المحاميين الأمريكية في إدارة صفقات الإنترنت فإن النقاط الأولية للقوانين الفدرالية والدولية التي تشرع التوقيع الرقمي المعتمد في الولايات المتحدة الأمريكية تقود إلى «منع تعارض وانتهاك الأنظمة المحلية وتأكيد أن الكتابات الإلكترونية تحقق المتطلبات التقليدية المرتبطة مع الوثائق الورقية».
إضافة إلى ذلك فإن الإشارة الإلكترونية (E-Sign) والشيفرة الموحدة لعمل الصفقات الإلكترونية(UETA) تساعدان في تأكيد أن:
ينقسم المزودون لهذه الخدمة إلى قسمين الأول يعتمد الدفع مقابل الخدمة، والثاني يقدمها مجانا.
عالميا، عمل مصدر الشهادة ينقسم إلى مزودين وطنيين أو إقليميين يسيطرون على السوق المحلي. هذا بسبب أن كثير من استخدامات الشهادات الرقمية، مثل التوقيع الرقمي القانوني، مرتبطة بالقانون المحلي والتشريعات ومخططات اعتماد مصادر الشهادات.
سوق شهادات طبقة المحفظة الآمنة (Secure Sockets Layer).
(تستخدم لضمان أمن التجارة الإلكترونية) يدعم عدد من الشركات متعددة الأجناس (بالإنجليزية: Multi-National Companies). في تقرير سبتمبر 2007 لمشاركة السوق من مؤسسة مدى الأمان (بالإنجليزية: Security Space ) حُدد أن VeriSign واكتساباته يملك 57.6% من سوق مصادر الشهادات، يتبعه Comodo8.3% ثم GoDaddy6.4% ثم DigiCert2.8% من ثم Network Solutions وأخيرا Entrust1.1%.
في الوقت الراهن هنالك على الأقل 4 مزودون للشهادات الرقمية مجانا دون تكلفة: