Для примера представим, что на вашей связке есть ключ Алисы. Вы определили подлинность её ключа и, подписывая его, указываете на это. Вам известно, что Алиса — активный сторонник тщательной проверки чужих ключей. Поэтому вы наделяете её Полным доверием, что, фактически, превращает её в Центр сертификации: если Алиса подпишет чужой ключ, он будет верным на вашей связке априори.

PGP требует одну Полностью доверяемую или две Частично доверяемых подписи, чтобы установить ключ как подлинный. Метод PGP приравнивания двух Частичных к одной Полной аналогичен тому, как иногда от вас требуют два вида документов, удостоверяющих личность. Вы можете посчитать Алису частично надёжной, также посчитать Боба частично заслуживающим доверия. Есть риск, что каждый из них в отдельности может случайно подписать липовый ключ, так что вы, вероятно, не станете предоставлять Полного доверия ни одному. Однако, вероятность того, что оба они подпишут один и тот же липовый ключ, довольно мала.

Аннулирование сертификата

Применение сертификата допустимо только пока он достоверен. Опасно полагаться на то, что сертификат будет защищён и надёжен вечно. В большинстве организаций и во всех PKI сертификат имеет ограниченный срок "жизни". Это сужает период, в который система может оказаться под угрозой, если сертификат окажется взломан.

Таким образом, сертификат создаётся с определённым заданным периодом достоверности, начинающимся с даты создания и заканчивающимся датой истечения (аналогично сроку действия водительских прав). Сертификат может быть использован в течение всего периода действия, по истечении которого перестаёт быть верным, поскольку достоверность его идентификационно-ключевой пары более не может быть гарантирована. (Тем не менее, сертификат по-прежнему может применяться для подтверждения информации, зашифрованной или подписанной им ранее в течение периода жизни; однако он становится неприменим для будущих криптографических нужд.)

Но иногда появляется потребность сделать сертификат недействительным до истечения срока его жизни, например, в случае увольнения владельца сертификата с настоящего места работы или когда у владельца возникает подозрение, что закрытый ключ данного сертификата был скомпрометирован. Такой процесс называется отзывом или аннулированием. Аннулированный сертификат гораздо более подозрителен, нежели истекший. Истекший сертификат более непригоден к использованию, однако, не несёт такой угрозы скомпрометированности, как аннулированный.

Любой пользователь, заверивший сертификат (поручившийся за взаимосвязность ключа и сведений сертификата), в любой момент может отозвать с него свою подпись, используя тот же закрытый ключ, которым её создавал. Отозванная подпись указывает на то, что заверитель счёл, что открытый ключ и идентификационная информация более не связаны друг с другом, или что открытый ключ сертификата (или соответствующий закрытый) был скомпрометирован. Отозванная подпись имеет практически такое же значение, как и аннулированный сертификат.

В случае сертификатов Х.509 отозванная подпись фактически представляет то же самое, что и аннулированный сертификат, поскольку вообще лишь одна подпись была поручительством подлинности сертификата — подпись Центра сертификации. PGP предоставляет дополнительную возможность аннулирования всего сертификата (а не только подписей на нём), если вы вдруг посчитаете, что он был каким-либо образом скомпрометирован.